Cloudflare’deki kritik bir sıfır gün güvenlik açığı, güvenlik istisnalarının geniş ölçekte nasıl ele alındığına ilişkin temel bir zayıflığı ortaya çıkardı. Bu kusur, saldırganların Cloudflare’in Web Uygulaması Güvenlik Duvarını (WAF) tamamen atlamalarına ve bir sertifika doğrulama uç noktasını kötüye kullanarak korunan kaynak sunuculara doğrudan erişmelerine olanak sağladı. Sorun, müşterinin yanlış yapılandırmasından değil, Cloudflare’in ACME sertifika doğrulama trafiğini işlemesindeki bir mantık hatasından kaynaklandı.
Güvenlik açığı, FearsOff’taki güvenlik araştırmacıları tarafından 9 Ekim 2025’te keşfedildi ve Cloudflare’in hata ödül programı aracılığıyla rapor edildi. Sorunun özünde Cloudflare’in ACME HTTP-01 sınama yoluna yönelik istekleri ele almasıyla ilgiliydi: /.well-known/acme-challenge/*. Bu yol, sertifika yetkilileri tarafından otomatik SSL/TLS sertifikası verilmesi sırasında alan adı sahipliğini doğrulamak için kullanılır.
Cloudflare Güvenlik Açığı Nasıl Çalıştı?
ACME (Otomatik Sertifika Yönetim Ortamı), bir etki alanının iyi bilinen bir URL’de belirli bir belirteçle yanıt vermesini gerektirerek sertifika yaşam döngüsü yönetimini otomatikleştirir. Cloudflare tarafından yönetilen sertifikalar için Cloudflare, bu doğrulama isteklerine uçta yanıt verir. Meşru sertifika verme işleminin başarısız olmasını önlemek için Cloudflare, bu yoldaki belirli WAF özelliklerini kasıtlı olarak devre dışı bırakır; çünkü güvenlik duvarı kuralları, sertifika yetkililerinden gelen doğrulama isteklerine müdahale edebilir.
Sıfır gün güvenlik açığı, Cloudflare’in mantığının, istekteki belirtecin söz konusu ana bilgisayar adı için etkin bir sertifika sorgulamasıyla eşleşip eşleşmediğini doğrulamadan, ACME sınama yoluna gönderilen herhangi bir istek için WAF korumalarını devre dışı bırakması nedeniyle ortaya çıktı. Belirteç, Cloudflare tarafından yönetilen bir sertifika siparişine karşılık gelmiyorsa istek, WAF korumaları hâlâ devre dışı bırakılarak müşterinin kaynak sunucusuna iletildi..
Bu, bir saldırganın keyfi istekler gönderebileceği anlamına geliyordu. /.well-known/acme-challenge/* ve geçerli bir sertifika sorgulamasının mevcut olup olmadığına bakılmaksızın müşteri tarafından yapılandırılmış tüm WAF kurallarını atlayın. ACME yolu etkili bir şekilde evrensel bir WAF bypass’ı haline geldi.
Cloudflare Onayı ve Teknik Detaylar
Cloudflare, 13 Ekim 2025 tarihli resmi açıklamasında sorunu doğruladı ve şunu belirtti:
“FearsOff’tan güvenlik araştırmacıları, Cloudflare’in ACME (Otomatik Sertifika Yönetim Ortamı) doğrulama mantığında, ACME ile ilgili belirli yollarda bazı WAF özelliklerini devre dışı bırakan bir güvenlik açığı tespit etti ve bildirdi.”
Şirket, bir istek aktif bir ACME sorgulama jetonuyla eşleştiğinde, Cloudflare’in doğrudan yanıtı sunması nedeniyle WAF özelliklerinin devre dışı bırakıldığını açıkladı. Ancak aynı davranış, belirteç farklı bir bölgeye veya harici bir sertifika iş akışına ait olduğunda da ortaya çıktı. Bu durumlarda, talebin WAF incelemesine tabi kalması gerekirdi ancak bunun yerine kontrol edilmeden kaynağa iletildi.
Bu mantık hatası, Cloudflare’in güvenlik kontrolleri etrafında doğrudan bir yol oluşturarak müşterilerin WAF tarafından tamamen korunduğunu varsaydığı arka uç altyapısına erişime izin verdi.
Azaltma ve Etki
Cloudflare, uç mantığını güncelleyerek güvenlik açığını azalttı; böylece WAF özellikleri yalnızca bir istek, belirli ana bilgisayar adı için geçerli bir ACME HTTP-01 sınama belirteciyle eşleştiğinde ve Cloudflare’in hizmet verecek bir sınama yanıtı olduğunda devre dışı bırakılır. ACME yoluna yapılan diğer tüm istekler artık WAF kural kümeleri aracılığıyla normal şekilde işleniyor.
Cloudflare’e göre herhangi bir müşteri işlemine gerek yoktu ve şirket, düzeltmeden önce güvenlik açığından herhangi bir kötü niyetli şekilde yararlanıldığının farkında olmadığını belirtti.