Foi descoberta uma vulnerabilidade na ferramenta de segurança Web Application Firewall (WAF) da Cloudflare que permitia que invasores contornassem o sistema de segurança e obtivessem acesso a sites protegidos, explorando o mecanismo de verificação de certificados.

Fonte da imagem: cloudflare.com

Especialistas em cibersegurança da FearsOff descobriram que solicitações para sites em “/.well-known/acme-challenge/” foram recebidas mesmo quando o WAF configurado no cliente bloqueava explicitamente todo o restante do tráfego. O protocolo ACME (Automatic Certificate Management Environment) automatiza a validação de certificados SSL/TLS, verificando o nome do proprietário do domínio junto às autoridades certificadoras. Ao implementar o método de verificação HTTP-01, a autoridade certificadora assume que o site fornece um token único em “/.well-known/acme-challenge/{token}”. Esse caminho existe para quase todos os sites modernos como rota de serviço para emissão automática de certificados.

Esse método pressupõe que o acesso seja limitado ao bot de verificação e a um arquivo específico — e que esse arquivo não seja uma porta de entrada aberta para o servidor de origem. No entanto, mesmo uma configuração de WAF que bloqueava o acesso global e permitia apenas fontes específicas abria uma exceção para o mecanismo de verificação ACME HTTP-01. Para confirmar sua hipótese, os especialistas criaram domínios de terceiro nível para o site principal da empresa e descobriram que, se o token solicitado não correspondesse à ordem dos certificados gerenciados pela Cloudflare, a verificação do WAF era simplesmente ignorada, permitindo que qualquer visitante acessasse o site do cliente diretamente. Isso gerou uma série de vulnerabilidades, principalmente em aplicações Spring/Tomcat, Next.js e PHP.Mesmo que o usuário tenha configurado manualmente as regras de bloqueio apropriadas, o sistema as ignorou para não interferir na verificação de dados para as autoridades de certificação.

EspecialistasA FearsOff reportou a vulnerabilidade à Cloudflare em 9 de outubro de 2025. A Cloudflare iniciou a investigação em 13 de outubro, e a HackerOne confirmou a vulnerabilidade em 14 de outubro. O problema foi corrigido em 27 de outubro — o mecanismo de proteção foi modificado para desativar os recursos de segurança somente quando as requisições corresponderem a tokens de verificação ACME HTTP-01 válidos para um nome de host específico. Testes adicionais mostraram que as regras do WAF agora são aplicadas de forma consistente a todos os caminhos, incluindo o ACME anteriormente vulnerável. Nenhuma ação é necessária por parte dos clientes da Cloudflare, e nenhuma evidência de exploração maliciosa foi detectada.

admin

Postagens recentes

O agente Google Gemini Spark AI acelerou uma vez e meia e tornou-se mais hábil no trabalho com documentos.

O Google começou a lançar o agente Gemini Spark AI há alguns meses e recebeu…

27 minutos atrás

A UE está preparando novas multas multimilionárias para o Google – agora por causa da pesquisa e da Play Store

\nA Comissão Europeia anunciará uma série de decisões relativas ao Google na próxima semana, reforçando…

27 minutos atrás

Um novo trailer confirmou a data de lançamento de Emberville, um RPG de ação que parece um cruzamento entre Diablo e Stardew Valley.

\nOs desenvolvedores do estúdio irlandês independente Cygnus Cross anunciaram uma data de lançamento de acesso…

48 minutos atrás

Vídeo: Rocket Lab testou o motor Archimedes para o futuro veículo de lançamento Neutron

\nA empresa privada Rocket Lab continua a lançar regularmente o seu principal veículo de lançamento…

1 hora atrás

O Google está mudando o conceito de busca de imagens em homenagem ao 25º aniversário do serviço – a seção parecerá um feed interminável do Pinterest

\nO Google comemorou o 25º aniversário do lançamento do Imagens do Google esta semana com…

2 horas atrás