Cloudflare, Otomatik Sertifika Yönetim Ortamı (ACME) doğrulama mantığını etkileyen, güvenlik kontrollerini atlamayı ve kaynak sunuculara erişmeyi mümkün kılan bir güvenlik açığını giderdi.
Web altyapı şirketinden Hrushikesh Deshpande, Andrew Mitchell ve Leland Garofalo, “Güvenlik açığı, uç ağımızın ACME HTTP-01 sınama yoluna (/.well-known/acme-challenge/*) yönelik istekleri işleme biçiminden kaynaklanıyordu” dedi.
Web altyapısı şirketi, güvenlik açığının kötü niyetli bir bağlamda kullanıldığına dair hiçbir kanıt bulamadığını söyledi.
ACME, SSL/TLS sertifikalarının otomatik olarak verilmesini, yenilenmesini ve iptal edilmesini kolaylaştıran bir iletişim protokolüdür (RFC 8555). Bir sertifika yetkilisi (CA) tarafından bir web sitesine sağlanan her sertifika, alan adı sahipliğini kanıtlamaya yönelik sorgulamalar kullanılarak doğrulanır.
Bu süreç genellikle, bir HTTP-01 (veya DNS-01) sorgulaması yoluyla etki alanı sahipliğini kanıtlayan ve sertifika yaşam döngüsünü yöneten Certbot gibi bir ACME istemcisi kullanılarak gerçekleştirilir. HTTP-01 sorgulaması, “https://” adresindeki web sunucusunda bulunan bir doğrulama jetonunu ve anahtar parmak izini kontrol eder.
CA’nın sunucusu, dosyayı almak için tam olarak bu URL’ye bir HTTP GET isteğinde bulunur. Doğrulama başarılı olduktan sonra sertifika verilir ve CA, ACME hesabını (yani sunucusundaki kayıtlı varlığı) söz konusu etki alanını yönetmeye yetkili olarak işaretler.
Sorgulamanın Cloudflare tarafından yönetilen bir sertifika siparişi tarafından kullanılması durumunda Cloudflare, yukarıda belirtilen yolda yanıt verecek ve CA tarafından sağlanan jetonu arayana sağlayacaktır. Ancak Cloudflare tarafından yönetilen bir siparişle ilişkili değilse istek, etki alanı doğrulaması için farklı bir sistem kullanıyor olabilecek müşteri kaynağına yönlendirilir.
FearsOff tarafından Ekim 2025’te keşfedilen ve bildirilen güvenlik açığı, ACME doğrulama sürecinin hatalı bir uygulamasıyla ilgilidir; bu durum, URL’ye yönelik belirli sorgulama isteklerinin web uygulaması güvenlik duvarı (WAF) kurallarını devre dışı bırakmasına ve ideal olarak engellenmesi gerekirken kaynak sunucuya erişmesine izin vermesine neden olur.
Başka bir deyişle, mantık, istekteki belirtecin gerçekten söz konusu ana bilgisayar adı için etkin bir meydan okumayla eşleşip eşleşmediğini doğrulamakta başarısız oldu; bu, bir saldırganın ACME yoluna rastgele istekler göndermesine ve WAF korumalarını tamamen atlatmasına etkili bir şekilde izin vererek onlara kaynak sunucuya erişme yeteneği kazandırdı.
Şirket, “Daha önce, Cloudflare bir HTTP-01 sınama belirteci sunarken, arayan tarafından talep edilen yol, sistemimizdeki etkin bir sınama için bir belirteçle eşleşirse, ACME sınama belirteci sunan mantık, Cloudflare doğrudan yanıtı sunacağı için WAF özelliklerini devre dışı bırakacaktı” diye açıkladı.
“Bunun nedeni, bu özelliklerin CA’nın belirteç değerlerini doğrulama becerisine müdahale edebilmesi ve otomatik sertifika siparişleri ve yenilemelerde hatalara neden olabilmesidir. Ancak, kullanılan belirtecin farklı bir bölgeyle ilişkilendirildiği ve doğrudan Cloudflare tarafından yönetilmediği senaryoda, isteğin, WAF kural kümeleri tarafından daha fazla işlenmeden müşteri kaynağına iletilmesine izin verilecektir.”
FearsOff’un kurucusu ve CEO’su Kirill Firsov, güvenlik açığının kötü niyetli bir kullanıcı tarafından deterministik, uzun ömürlü bir token elde etmek ve tüm Cloudflare ana bilgisayarlarındaki orijinal sunucudaki hassas dosyalara erişmek için keşif kapısını açmak için kullanılabileceğini söyledi.
Güvenlik açığı, 27 Ekim 2025’te Cloudflare tarafından, yanıtı sunan ve WAF özelliklerini yalnızca istek o ana bilgisayar adı için geçerli bir ACME HTTP-01 sınama belirteciyle eşleştiğinde devre dışı bırakan bir kod değişikliğiyle giderildi.