Cloudflare 修复其 Web 应用防火墙中的一个漏洞
安全专家在 Cloudflare 的 Web 应用防火墙 (WAF) 中发现了一个弱点。这个缺陷使得恶意行为者能够绕过防御并进入本应受保护的门户。问题的核心在于系统处理和检查SSL/TLS 证书的方式,这些证书对于加密连接至关重要。Cloudflare 已经部署了一个修复程序来解决这个问题。🔓
该漏洞利用了证书链验证
攻击者可以利用 TLS连接协议中的特定行为。通过提供一个被篡改的证书链,他们成功欺骗了 WAF 的验证组件。这导致系统错误解释连接的合法性并授权恶意流量。该漏洞成功规避了拒绝非法访问的既定规则。
绕过机制的细节:- 滥用 TLS 握手中的特定阶段来注入被操纵的证书链。
- 欺骗验证引擎,使其感知到一个非真实的连接为真实。
- 允许恶意流量通过已配置的安全规则。
即使是最警惕的守卫有时也会忘记锁上后门,相信没人会试试门把手。
Cloudflare 的响应和修复措施
该公司已在全球基础设施中应用了一个修复程序来堵住这个缺口。他们建议用户验证其设置是否是最新的。虽然补丁会自动安装,但检查 WAF 的自定义规则仍然是一个推荐的做法。这一事件突显了在巨大规模上维护安全防御的复杂性。🛡️
采取的缓解措施:- 在整个 Cloudflare 网络中全球部署安全补丁。
- 建议客户更新和检查其防火墙配置。
- 强调手动验证自定义规则,尽管有自动修复。
关于大规模安全的反思
这一事件强调,即使是最强大的保护系统也可能出现意外的裂缝,通常在像验证证书这样的基本过程中。Cloudflare 的迅速响应缓解了风险,但它提醒我们需要持续警惕,并理解网络安全是一个动态过程。这一教训强化了没有一个环节,无论看起来多么坚固,都能经得起细致分析。⚙️