Cloudflare ha abordado una vulnerabilidad de seguridad que afecta la lógica de validación del Entorno de gestión de certificados automatizado (ACME) y permite el acceso a los servidores de origen eludiendo los controles de seguridad.
«La vulnerabilidad se debió a la forma en que nuestra red de borde manejó las solicitudes dirigidas a la ruta de desafío ACME HTTP-01 (/.well-known/acme-challenge/*)», dijeron Hrushikesh Deshpande, Andrew Mitchell y Leland Garofalo de la empresa de infraestructura web.
La empresa de infraestructura web dijo que no encontró evidencia de que la vulnerabilidad hubiera sido explotada en una situación maliciosa.
ACME es un protocolo de comunicaciones (RFC 8555) que facilita la emisión, renovación y revocación automática de certificados SSL/TLS. Cada certificado proporcionado a un sitio web por una Autoridad de certificación (CA) se verifica mediante una verificación que demuestra la propiedad del dominio.
Este proceso generalmente se logra utilizando un cliente ACME como Certbot, que demuestra la propiedad del dominio a través de desafíos HTTP-01 (o DNS-01) y administra el ciclo de vida del certificado. El desafío HTTP-01 verifica el token de verificación y la huella digital de la clave en el servidor web «https:///.well-known/acme-challenge/» a través del puerto HTTP 80.
El servidor de la CA realiza una solicitud HTTP GET a esa URL exacta para recuperar el archivo. Si la validación es exitosa, se emite un certificado y la CA marca la cuenta ACME (es decir, la entidad registrada en el servidor) como autorizada para administrar ese dominio en particular.
Cuando se utiliza un desafío solicitando un certificado administrado por Cloudflare, Cloudflare responde con la ruta descrita anteriormente y proporciona el token proporcionado por la CA a la persona que llama. Sin embargo, si no está asociada con un pedido administrado por Cloudflare, la solicitud se dirige al origen del cliente, que puede utilizar un sistema diferente para la verificación del dominio.
La vulnerabilidad, descubierta y reportada por FearsOff en octubre de 2025, implica una falla en la implementación del proceso de validación ACME que permite que ciertas solicitudes de desafío a una URL anulen las reglas del Web Application Firewall (WAF) y lleguen al servidor de origen cuando idealmente deberían estar bloqueadas.
Esto significa que la lógica no puede verificar si el token en la solicitud realmente coincide con un desafío activo para ese nombre de host en particular, lo que permite efectivamente a un atacante enviar solicitudes arbitrarias a la ruta ACME, evitando por completo la protección WAF y alcanzando el servidor de origen.
«Anteriormente, cuando Cloudflare proporcionaba tokens de desafío HTTP-01, la lógica que proporcionaba tokens de desafío ACME deshabilitaba la funcionalidad WAF porque si la ruta solicitada por la persona que llama coincidía con un token de desafío activo en el sistema, Cloudflare proporcionaría una respuesta directa», explicó la compañía.
«Esto se hace porque estas características pueden interferir con la capacidad de la CA para validar el valor del token y provocar que falle el pedido y la renovación automática del certificado. Sin embargo, en escenarios donde el token usado está asociado con otra zona y no es administrado directamente por Cloudflare, se permite que la solicitud continúe hasta el origen del cliente sin procesamiento adicional por parte del conjunto de reglas WAF».
Kirill Firsov, fundador y director ejecutivo de FearsOff, dijo que un usuario malintencionado podría aprovechar esta vulnerabilidad para obtener tokens deterministas de larga duración y acceder a archivos confidenciales en los servidores de origen de todos los hosts de Cloudflare, abriendo la puerta al reconocimiento.
Cloudflare resolvió esta vulnerabilidad el 27 de octubre de 2025 con un cambio de código que deshabilita la funcionalidad WAF al proporcionar una respuesta solo si la solicitud coincide con un token de desafío ACME HTTP-01 válido para ese nombre de host.
Source link
