Forscher enthüllt neue Techniken, die Schutz von Cloudflare umgehen
Cyberkriminelle können die Firewall- und Distributed-Denial-of-Service-(DDoS)-Schutzmechanismen von Cloudflare umgehen, indem sie Sicherheitslücken in den mandantenübergreifenden Sicherheitskontrollen ausnutzen.
„Angreifer können ihre eigenen Cloudflare-Konten nutzen, um die Vertrauensbeziehung zwischen Cloudflare und den Kunden-Websites zu missbrauchen und so den Schutzmechanismus unwirksam zu machen“, so Certitude-Forscher Stefan Proksch in einem letzte Woche veröffentlichten Bericht. Das Problem, so das österreichische Beratungsunternehmen, ist das Ergebnis der gemeinsamen Infrastruktur, die allen Mietern innerhalb von Cloudflare zur Verfügung steht, unabhängig davon, ob sie legitim sind oder nicht. Das macht es böswilligen Akteuren leicht, das implizite Vertrauen, das mit dem Dienst verbunden ist, zu missbrauchen und die Schutzmechanismen zu umgehen.
Das erste Problem ergibt sich aus der Entscheidung für ein gemeinsames Cloudflare-Zertifikat zur Authentifizierung von HTTP(S)-Anfragen zwischen den Reverse Proxies des Dienstes und dem Ursprungsserver des Kunden als Teil einer Funktion namens Authenticated Origin Pulls. Wie der Name schon andeutet, stellt Authenticated Origin Pulls sicher, dass Anfragen, die an den Ursprungsserver gesendet werden um Inhalte abzurufen, die nicht im Cache verfügbar sind, von Cloudflare und nicht von einem Bedrohungsakteur stammen.
Eine Folge einer solchen Einrichtung ist, dass ein Angreifer mit einem Cloudflare-Konto seine bösartige Nutzlast über die Plattform senden kann, indem er die Tatsache ausnutzt, dass alle von Cloudflare ausgehenden Verbindungen erlaubt sind, selbst wenn der Mieter, der die Verbindung initiiert, kriminelle Absichten hat. „Ein Angreifer kann eine benutzerdefinierte Domain bei Cloudflare einrichten und den DNS-A-Eintrag auf eine IP-Adresse des Opfers verweisen“, erklärt Proksch. „Der Angreifer deaktiviert dann alle Schutzfunktionen für diese benutzerdefinierte Domain in seinem Mandanten und tunnelt seine Angriffe durch die Cloudflare-Infrastruktur. Dieser Ansatz ermöglicht es den Angreifern, die Schutzfunktionen des Opfers zu umgehen.“
Das zweite Problem ergibt sich daraus, dass die Praxis, nur den Datenverkehr von Cloudflare-IP-Adressen zum Ursprungsserver zuzulassen und individuelle Besucher-IP-Adressen auszusperren, zu Missbrauch führt. Dies wird von Angreifern ausgenutzt, um betrügerische Daten einzuschleusen und andere Plattformnutzer gezielt anzugreifen. Die Sicherheitsvorkehrungen, die eigentlich dazu dienen sollen, den Ursprungsserver zu schützen, werden somit als Einfallstor für betrügerische Aktivitäten missbraucht.
Nach der Offenlegung am 16. März 2023 bestätigte Cloudflare die Ergebnisse als informativ und fügte eine neue Warnung in seiner Dokumentation hinzu: „Beachten Sie, dass das Zertifikat, das Cloudflare Ihnen für die Einrichtung von Authenticated Origin Pulls zur Verfügung stellt, nicht exklusiv für Ihr Konto ist und nur garantiert, dass eine Anfrage aus dem Cloudflare-Netzwerk kommt“, erklärt Cloudflare nun ausdrücklich. „Für mehr Sicherheit sollten Sie Authenticated Origin Pulls mit Ihrem eigenen Zertifikat einrichten und andere Sicherheitsmaßnahmen für Ihren Ursprung in Betracht ziehen.“
„Der Mechanismus ‚Allowlist Cloudflare IP-Adressen‘ sollte als Defense-in-Depth betrachtet werden und nicht der einzige Mechanismus zum Schutz von Origin-Servern sein“, so Proksch. „Der Mechanismus ‚Authenticated Origin Pulls‘ sollte mit benutzerdefinierten Zertifikaten und nicht mit dem Cloudflare-Zertifikat konfiguriert werden.“
Certitude hat zuvor auch aufgedeckt, wie Angreifer „pendelnde“ DNS-Einträge missbrauchen, um Subdomains zu kapern, die zu 1.000 und mehr Organisationen gehören – darunter Regierungen, Medien, politische Parteien und Universitäten. Die gekaperten Subdomains werden mit hoher Wahrscheinlichkeit für die Verbreitung von Malware, Desinformationskampagnen und Phishing-Angriffe genutzt. „In den meisten Fällen könnte das Hijacking von Subdomains durch Cloud-Dienste wirksam verhindert werden, indem die Domain-Eigentümerschaft überprüft und zuvor verwendete Kennungen nicht sofort für die Registrierung freigegeben werden“, so Sicherheitsforscher Florian Schweitzer.
Die Enthüllungen kommen zu einem Zeitpunkt, an dem Akamai herausfand, wie Angreifer zunehmend dynamische Domain-Generierungsalgorithmen (DGA) nutzen, um eine Entdeckung zu vermeiden und die Analyse zu erschweren. Dadurch verlängern sie effektiv die Lebensdauer von Command-and-Control (C2)-Kommunikationskanälen. „Wenn wir wissen, welche DGA-Domänen morgen aktiviert werden, können wir diese Domänen proaktiv auf unsere Blockierlisten setzen, um Endbenutzer vor Botnets zu schützen“, so die Sicherheitsforscher Connor Faulkner und Stijn Tilborghs. „Leider ist dieses Szenario bei unvorhersehbaren Daten wie Google Trends, Temperatur-Entwicklungen oder Devisenkursen nicht möglich. Selbst wenn wir den Quellcode der DGA-Familie haben, sind wir nicht in der Lage, die zukünftig generierten DGA-Domainnamen korrekt vorherzusagen.“
Bereits im August hatte eine Gruppe von Wissenschaftlern der University of California, Irvine und der Tsinghua University einen DNS-Vergiftungsangriff namens MaginotDNS demonstriert, der Schwachstellen in den Algorithmen zur Überprüfung von DNS-Bereichen ausnutzt. Auf diese Weise lassen sich ganze DNS-Zonen übernehmen, sogar einschließlich Top-Level-Domains wie .com und .net.
„Der Schlüssel zur Entdeckung von MaginotDNS ist die inkonsistente Implementierung der DNS-Zonen zwischen verschiedenen DNS-Modi“, so die Forscher. „Die Schwachstellen schaden den regulären Forwardern nicht, da sie keine rekursiven Domainauflösungen durchführen, aber für bedingte DNS-Server (CDNS) können sie schwerwiegende Folgen haben.“
„CDNS ist ein weit verbreiteter, aber noch nicht systematisch untersuchter Typ von DNS-Servern. Er ist so konfiguriert, dass er gleichzeitig als rekursiver Resolver und Forwarder fungiert, und die verschiedenen Servermodi nutzen denselben globalen Cache. Folglich können Angreifer die Schwachstellen der Forwarder ausnutzen und ‚die Grenze überschreiten‘ – also rekursive Resolver auf demselben Server angreifen.“