Cloudflare tiene dirigido una vulnerabilidad de seguridad que afecta a su entorno de administración automática de certificados ( LLEGÓ ) lógica de validación que permitió eludir los controles de seguridad y el acceso servidores de origen .
«La vulnerabilidad tenía su origen en la forma en que nuestra red perimetral procesaba las solicitudes destinadas a la ruta de desafío ACME HTTP-01 (/.well-known/acme-challenge/*)», dijeron Andrew Mitchell y Leland Garofalo, de la empresa de infraestructura web, Hrushikesh Deshpande, de la empresa de infraestructura web.
La empresa de infraestructura web dijo que no encontró evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malicioso.
ACME es un protocolo de comunicaciones ( RFC 855 ) que facilita la emisión, renovación y revocación automáticas de los certificados SSL/TLS. Cada certificado suministrado a un sitio web por una autoridad de certificación (CA) se valida mediante pruebas para demostrar la propiedad del dominio.
Este proceso se lleva a cabo normalmente con un cliente ACME como Certbot que demuestre la propiedad del dominio a través de un HTTP-01 (o DNS-01) desafía y administra el ciclo de vida del certificado. <TOKEN>El desafío HTTP-01 comprueba si hay un token de validación y una huella digital clave ubicados en el servidor web en «https://<YOUR_DOMAIN>/.well-known/acme-challenge/» a través del puerto HTTP 80.
El servidor de la CA realiza una solicitud HTTP GET a esa URL exacta para recuperar el archivo. Una vez que la verificación se realiza correctamente, se emite el certificado y la CA marca la cuenta ACME (es decir, la entidad registrada en su servidor) como autorizada para administrar ese dominio específico.
En el caso de que un pedido de certificado gestionado por Cloudflare utilice el desafío, Cloudflare responderá en la ruta antes mencionada y proporcionará el token proporcionado por la CA a la persona que llama. Sin embargo, si no se correlaciona con un pedido gestionado por Cloudflare, la solicitud se dirige al origen del cliente, que puede estar utilizando un sistema diferente para la validación del dominio.
La vulnerabilidad, descubierto y denunciado de FearsOff en octubre de 2025, tiene que ver con una implementación defectuosa del proceso de validación de ACME, que provoca que ciertas solicitudes de desafío a la URL deshabiliten las reglas del firewall de aplicaciones web (WAF) y permitan que llegue al servidor de origen cuando debería haber estado idealmente bloqueado.
En otras palabras, la lógica no pudo verificar si el token de la solicitud realmente coincidía con un desafío activo para ese nombre de host específico, lo que permitió a un atacante enviar solicitudes arbitrarias a la ruta ACME y eludir por completo las protecciones de WAF, lo que le permitió llegar al servidor de origen.
«Anteriormente, cuando Cloudflare enviaba un token de desafío HTTP-01, si la ruta solicitada por la persona que llamaba coincidía con un token de un desafío activo en nuestro sistema, la lógica que utilizaba un token de desafío ACME deshabilitaba las funciones del WAF, ya que Cloudflare proporcionaba directamente la respuesta», explicó la empresa.
«Esto se debe a que esas funciones pueden interferir con la capacidad de la CA para validar los valores de los tokens y podrían provocar errores en los pedidos y renovaciones automatizados de certificados. Sin embargo, en el caso de que el token utilizado estuviera asociado a una zona diferente y no fuera gestionado directamente por Cloudflare, la solicitud podría continuar con el origen del cliente sin necesidad de seguir procesándola según los conjuntos de reglas del WAF».
Kirill Firsov, fundador y director ejecutivo de FearsOff, dijo que un usuario malintencionado podría aprovechar la vulnerabilidad para obtener un token determinista y duradero y acceder a archivos confidenciales del servidor de origen en todos los hosts de Cloudflare, lo que abriría la puerta al reconocimiento.
Cloudflare solucionó la vulnerabilidad el 27 de octubre de 2025 con un cambio de código que sirve como respuesta y desactiva las funciones de WAF solo cuando la solicitud coincide con un token de desafío ACME HTTP-01 válido para ese nombre de host.
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS