【安全资讯】Cloudflare修复WAF逻辑漏洞，防止攻击者绕过防护直连源服务器

概要：

在当今高度依赖云安全服务的数字环境中，Web应用防火墙（WAF）是保护网站和应用程序免受恶意攻击的第一道防线。然而，即使是Cloudflare这样的行业巨头，其安全产品也可能存在逻辑缺陷。近期，安全研究人员发现Cloudflare WAF中存在一个关键漏洞，该漏洞可能允许攻击者完全绕过安全规则，直接访问后端源服务器，从而引发数据泄露甚至服务器被完全控制的严重风险。

主要内容：

该漏洞存在于Cloudflare的ACME（自动证书管理环境）验证逻辑中。ACME协议用于自动化SSL/TLS证书的颁发、续订和吊销。其标准验证流程（HTTP-01挑战）要求证书颁发机构访问客户域名的特定路径（/.well-known/acme-challenge/）以获取验证令牌。Cloudflare的WAF本应允许此类合法的验证流量通过，同时过滤恶意请求。

然而，研究人员发现，当Cloudflare处理ACME挑战请求时，其逻辑存在缺陷。系统在检测到请求路径匹配活动挑战令牌时，会禁用WAF功能以确保证书验证顺利进行。但问题在于，此逻辑未能验证请求中的令牌是否确实与当前主机名的有效挑战相匹配。这意味着攻击者可以构造一个指向已知ACME挑战路径的请求，从而诱使WAF功能被禁用，实现完全绕过。

Cloudflare已于10月27日通过代码更新修复了此漏洞。新逻辑确保仅在请求完全匹配特定主机名的有效ACME HTTP-01挑战令牌时，才会禁用WAF功能。尽管目前没有证据表明该漏洞在修复前已被利用，但研究人员警告，此类WAF绕过漏洞在AI驱动的攻击面前威胁更大。AI工具可以大规模扫描并利用此类暴露路径，结合其他框架特定弱点，将狭窄的维护路径转变为广泛的攻击向量。