Cloudflare’in Web Uygulaması Güvenlik Duvarı’ndaki (WAF) kritik bir sıfır gün güvenlik açığı, saldırganların güvenlik kontrollerini atlamasına ve korunan kaynak sunuculara doğrudan erişmesine olanak tanıdı.
FearsOff’tan güvenlik araştırmacıları, 9 Ekim 2025’te, belirli bir sertifika doğrulama yolunu hedefleyen isteklerin, yetkisiz trafiği engellemek üzere tasarlanmış, müşteri tarafından yapılandırılan WAF kurallarını tamamen atlatabileceğini keşfetti.
Sertifika Doğrulamasında Gizli Arka Kapı
Güvenlik açığı, Otomatik Sertifika Yönetim Ortamı (ACME) protokolü tarafından kullanılan bir yoldan yararlandı.
ACME, sertifika yetkililerinin alan adı sahipliğini belirli bir URL modeli aracılığıyla doğrulamasını sağlayarak SSL/TLS sertifikası verilmesini otomatikleştirir: /.well-known/acme-challenge/{token}.
Bu yolun, yalnızca alan adı sahipliğini doğrulamak amacıyla sertifika doğrulama robotları için kullanılan dar, kontrollü bir ağ geçidi olması gerekiyor.
Cloudflare’in uç ağı, bu ACME sınama yoluna yönelik istekleri işleme biçiminde bir mantık hatası içeriyordu.
Herhangi bir istek /.well-known/acme-challenge/*’i hedef aldığında sistem, meşru sertifika doğrulamaya müdahaleyi önlemek için WAF güvenlik özelliklerini kapatıyordu.
Ancak kod, istekteki belirtecin gerçekten söz konusu ana makine adı için etkin bir sorgulamayla eşleşip eşleşmediğini doğrulayamadı.
Bu, saldırganların ACME yoluna rastgele istekler gönderebileceği ve WAF korumalarını tamamen atlayarak doğrudan kaynak sunucuya ulaşabileceği anlamına geliyordu.
FearsOff araştırmacıları bu baypasın ciddiyetini kanıtlamak için gösteri ortamları oluşturdular.
WAF kurallarını, cf-php.fearsoff.org, cf-spring.fearsoff.org ve cf-nextjs.fearsoff.org dahil olmak üzere test alanlarına giden tüm trafiği engelleyecek şekilde yapılandırdılar.
Bu alanlara yönelik rutin istekler, Cloudflare blok sayfalarını doğru bir şekilde döndürdü. Ancak ACME sınama yolunu hedefleyen özdeş istekler, tüm güvenlik kontrollerini atlayarak doğrudan kaynak sunuculardan yanıtlar aldı.
Etki, basit erişimin ötesine geçti. Spring Boot uygulamalarında araştırmacılar, ortam değişkenlerini, veritabanı kimlik bilgilerini ve API belirteçlerini açığa çıkaran /actuator/env gibi hassas aktüatör uç noktalarına erişmek için sunucu uygulaması yolu geçiş tekniklerini (örn. ..;/) kullandılar.
Next.js uygulamalarında, sunucu tarafı işleme mantığı, hiçbir zaman genel erişime açık olmayan operasyonel ayrıntıları ortaya çıkarır. Yerel dosya ekleme güvenlik açıklarına sahip PHP uygulamaları istismar edilebilir hale geldi ve saldırganların /etc/hosts gibi sistem dosyalarını okumasına olanak tanıdı.
Hesap Düzeyindeki Kurallar Tamamen Yoksayıldı
Bunun çerçeve hata sayfalarıyla sınırlı olmadığını doğrulamak için araştırmacılar, hesap düzeyinde WAF kurallarını belirli bir test başlığı (X-middleware-subrequest) içeren istekleri engelleyecek şekilde yapılandırdılar. Tipik yollarda bu kurallar, işaretlenen istekleri doğru bir şekilde engelledi.
ACME sınama yolunu hedefleyen aynı isteğe, değerlendirme yapılmadan izin verildi.
Bu, başlık birleştirme yoluyla SQL enjeksiyonu, X-Forwarded-Host yoluyla sunucu tarafı istek sahteciliği, önbellek zehirlenmesi ve HTTP yöntemini geçersiz kılma hileleri de dahil olmak üzere tüm başlık tabanlı saldırı sınıflarının savunmasız kaynaklara ulaşabileceği anlamına geliyordu.
Cloudflare, 27 Ekim 2025’te kalıcı bir düzeltme uyguladı ve ACME sorgulama mantığını yalnızca istek jetonu söz konusu ana bilgisayar adı için geçerli, etkin bir sorgulamayla eşleştiğinde WAF özelliklerini kapatacak şekilde değiştirdi.
Güvenlik açığı zaman çizelgesi sorumlu bir açıklamayı gösteriyor: rapor 9 Ekim’de HackerOne aracılığıyla gönderildi; satıcı doğrulaması 13 Ekim’de başladı; HackerOne bunu 14 Ekim’de tetikledi; ve son düzeltme 27 Ekim’de uygulandı.
Cloudflare, herhangi bir müşteri işlemine gerek olmadığını doğruladı ve kötü niyetli istismara dair hiçbir kanıt bulamadığını belirtti.
İşbirliği, bağımsız doğrulama için Crypto.com Güvenlik Ekibini içeriyordu. Yamayı hızlandırmak için doğrudan Cloudflare CEO’su Matthew Prince ile çalıştı.
Hata, otomasyona yönelik bakım yollarının, güvenlik kontrolleri farklı kod yollarında tutarsız bir şekilde uygulandığında nasıl tehlikeli saldırı vektörleri haline gelebileceğini vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.