Un reciente descubrimiento ha arrojado luz sobre una preocupante vulnerabilidad en los mecanismos de seguridad de Cloudflare, un proveedor líder de servicios de CDN (Red de Distribución de Contenidos).
Según investigadores especializados en ciberseguridad, se ha identificado que los sistemas de prevención de ataques de firewall y la defensa contra ataques de denegación de servicio distribuido (DDoS) en Cloudflare pueden ser evadidos mediante la explotación de brechas en los controles de seguridad entre inquilinos.
Esta debilidad pone de manifiesto una amenaza significativa para la integridad de los datos y la continuidad de los servicios en línea alojados en la plataforma de Cloudflare. Los firewalls y las medidas anti-DDoS, que son fundamentales para proteger contra intrusiones maliciosas y ataques masivos, se ven comprometidos cuando las brechas en los controles de seguridad permiten a los atacantes sortear estas salvaguardas.
El hecho de que esta vulnerabilidad haya sido descubierta en Cloudflare, una empresa ampliamente confiable y utilizada por miles de sitios web y aplicaciones en todo el mundo, subraya la urgencia de abordar las deficiencias en los sistemas de seguridad en la era digital. La confianza en los servicios en la nube y la protección de datos de los usuarios son esenciales para el funcionamiento seguro y continuo de las operaciones en línea.
Los expertos en ciberseguridad instan a Cloudflare y otras empresas de tecnología a abordar rápidamente estas vulnerabilidades mediante la implementación de medidas más sólidas para asegurar los datos y las aplicaciones de sus clientes. Además, se subraya la importancia de que las organizaciones adopten prácticas de seguridad proactivas y estén al tanto de las últimas amenazas cibernéticas para protegerse de posibles ataques.
La revelación de esta vulnerabilidad en los mecanismos de seguridad de Cloudflare sirve como un recordatorio crítico de la necesidad constante de vigilancia y mejora en el ámbito de la ciberseguridad. La colaboración entre empresas, investigadores y usuarios es esencial para fortalecer nuestras defensas contra las amenazas digitales en evolución y garantizar un entorno en línea seguro y confiable para todos.
El investigador de Certitude, Stefan Proksch, reveló en un informe publicado la semana pasada que los atacantes tienen la capacidad de utilizar sus propias cuentas de Cloudflare para explotar la relación de confianza inherente entre Cloudflare y los sitios web de los clientes.
Este abuso de la relación de confianza, diseñada como parte del funcionamiento estándar de Cloudflare, desencadena una situación en la que el mecanismo de protección se vuelve ineficaz.
Esta revelación pone de manifiesto una seria amenaza para la seguridad en línea, ya que los atacantes pueden burlar las medidas de seguridad destinadas a proteger los sitios web y las aplicaciones de los usuarios.
El problema, según la consultora austriaca, es el resultado de la infraestructura compartida disponible para todos los inquilinos dentro de Cloudflare, independientemente de si son legítimos o no, lo que facilita que los actores maliciosos abusen de la confianza implícita asociada con el servicio y anulen el barandillas.
El primer problema identificado surge del uso de un certificado compartido de Cloudflare para autenticar las solicitudes HTTP(S) entre los servidores proxy inversos del servicio y el servidor de origen del cliente. Esta práctica está integrada en una función llamada “Authenticated Origin Pulls“.
Esta función, conocida como Authenticated Origin Pulls, tiene como objetivo asegurar que las solicitudes enviadas al servidor de origen para recuperar contenido, especialmente cuando no está disponible en el caché, provengan genuinamente de Cloudflare y no de un actor malicioso. Al utilizar certificados compartidos, se crea una vulnerabilidad potencial, ya que los atacantes podrían manipular estas solicitudes autenticadas, abusando de la relación de confianza entre Cloudflare y el servidor de origen del cliente.
En esencia, la debilidad radica en la forma en que se establece la autenticación de estas solicitudes: al compartir certificados, se abre una puerta para que los atacantes se hagan pasar por Cloudflare y envíen solicitudes maliciosas al servidor de origen del cliente. Esto compromete la integridad del sistema, permitiendo que los atacantes eludan las medidas de seguridad diseñadas para proteger las interacciones entre los servidores proxy inversos y los servidores de origen.
La configuración mencionada tiene una consecuencia grave: un atacante con una cuenta de Cloudflare puede aprovechar la relación de confianza existente para enviar su carga maliciosa a través de la plataforma. Esto es posible debido a que todas las conexiones que se originan en Cloudflare son permitidas, incluso si el inquilino que inicia la conexión tiene intenciones maliciosas.
El proceso que sigue el atacante es el siguiente: primero, configura un dominio personalizado con Cloudflare y apunta el registro DNS A a la dirección IP de su víctima. Posteriormente, el atacante desactiva todas las funciones de protección para ese dominio personalizado en su propia cuenta de Cloudflare y canaliza sus ataques a través de la infraestructura de Cloudflare. Este enfoque ingenioso le permite al atacante eludir las funciones de protección que la víctima pueda tener en su lugar, ya que los ataques parecen originarse desde una fuente confiable: Cloudflare.
Este método estratégico no solo compromete la seguridad del sitio web o la aplicación de la víctima, sino que también pone de manifiesto la importancia crítica de revisar y reforzar las configuraciones de seguridad en todas las capas de la infraestructura digital. La necesidad de una seguridad cibernética robusta y vigilante es más evidente que nunca, dado el ingenio con el que los atacantes pueden aprovechar las relaciones de confianza aparentemente seguras para llevar a cabo sus acciones maliciosas.
El segundo problema identificado implica el abuso de incluir direcciones IP de Cloudflare en la lista blanca. Esta práctica restringe el tráfico del servidor de origen únicamente a las direcciones IP de Cloudflare, excluyendo las direcciones IP de visitantes individuales. Los atacantes pueden aprovechar esta configuración para transmitir entradas no autorizadas y dirigirse a otros usuarios de la plataforma.
Después de una divulgación responsable realizada el 16 de marzo de 2023, Cloudflare tomó medidas al reconocer los hallazgos como informativos. En respuesta a estos problemas de seguridad, la empresa agregó una nueva advertencia en su documentación. Esta acción es crucial para informar a los usuarios sobre los riesgos asociados con la inclusión indiscriminada de direcciones IP de Cloudflare en listas blancas, subrayando la importancia de una configuración cuidadosa y segura para evitar posibles explotaciones por parte de atacantes maliciosos.
Estos eventos destacan la necesidad continua de una colaboración estrecha entre la comunidad de seguridad informática y las empresas proveedoras de servicios en la nube. La rápida respuesta y la acción preventiva son esenciales para mantener la integridad y la confianza en las infraestructuras digitales, asegurando así un entorno en línea seguro para todos los usuarios.
La declaración explícita de Cloudflare respecto a la naturaleza de los certificados proporcionados para configurar las extracciones de origen autenticado es de suma importancia para la seguridad de los usuarios.
La empresa ha advertido claramente a sus usuarios que el certificado que ofrecen no es exclusivo de ninguna cuenta en particular. Más bien, este certificado garantiza únicamente que una solicitud proviene de la red de Cloudflare y no necesariamente de un usuario específico.
Esta aclaración es crucial, ya que subraya la limitación del certificado proporcionado por Cloudflare. Mientras que confirma la autenticidad de una solicitud proveniente de su red, no garantiza la identidad específica del usuario que realiza la solicitud. Por tanto, esta advertencia enfatiza la necesidad de que los usuarios implementen medidas de seguridad adicionales, como configurar extracciones de origen autenticado con certificados personalizados, para fortalecer la autenticación y garantizar la seguridad en las comunicaciones en línea.
La transparencia de Cloudflare sobre las capacidades y limitaciones de sus certificados es esencial para que los usuarios comprendan cómo deben complementar estas medidas de seguridad para una protección óptima. La conciencia de estas limitaciones es fundamental para una configuración segura y para mantener la integridad de las transacciones y comunicaciones en línea.
La compañía enfatiza la necesidad de adoptar medidas adicionales para una seguridad más estricta. Recomiendan encarecidamente que los usuarios configuren las extracciones de origen autenticado con sus propios certificados personalizados y consideren otras capas de seguridad para proteger sus servidores de origen.
Stefan Proksch, el investigador de Certitude, subraya la importancia de no depender únicamente del mecanismo de ‘lista de direcciones IP permitidas de Cloudflare’.
En lugar de confiar exclusivamente en esta lista, sugiere que las organizaciones adopten un enfoque de defensa en profundidad. Específicamente, Proksch aconseja la configuración de la ‘Extracción de origen autenticado’ utilizando certificados personalizados en lugar del certificado genérico proporcionado por Cloudflare.
Esta estrategia proporciona una capa adicional de seguridad, ayudando a mitigar el riesgo asociado con el abuso de la relación de confianza entre Cloudflare y los servidores de origen del cliente.
Estas recomendaciones enfatizan la importancia de la configuración cuidadosa y de adoptar un enfoque de seguridad multicapa para proteger las infraestructuras digitales contra posibles amenazas y ataques cibernéticos.
El descubrimiento del equipo de Certitude sobre la vulnerabilidad relacionada con los registros DNS “colgantes” resalta una preocupante amenaza en el panorama de ciberseguridad. Esta vulnerabilidad permite a los atacantes aprovechar los registros DNS no utilizados para secuestrar subdominios pertenecientes a diversas organizaciones, incluyendo gobiernos, medios de comunicación, partidos políticos y universidades.
Los atacantes pueden utilizar estos subdominios secuestrados como herramientas para llevar a cabo una variedad de actividades maliciosas, que van desde la distribución de malware hasta la ejecución de campañas de desinformación y ataques de phishing. Esta táctica les brinda una plataforma para comprometer la seguridad de sistemas informáticos, robar información confidencial y engañar a los usuarios para que divulguen datos sensibles.
Ante esta amenaza, es esencial que las organizaciones implementen medidas de seguridad robustas para proteger sus registros DNS y prevenir el secuestro de subdominios. La conciencia sobre esta vulnerabilidad y la adopción de prácticas seguras en la administración de dominios son fundamentales para mitigar los riesgos asociados con estas actividades maliciosas y mantener la integridad de la infraestructura digital.
La indicación del investigador de seguridad Florian Schweitzer subraya la necesidad crítica de establecer medidas de seguridad sólidas y procesos de verificación rigurosos para prevenir el secuestro de subdominios.
En particular, Schweitzer destaca la eficacia de los servicios en la nube que verifican la propiedad del dominio y evitan la liberación inmediata de los identificadores utilizados previamente para el registro.
Esta recomendación resalta la importancia de implementar prácticas de seguridad proactivas en el manejo de subdominios y la gestión de dominios en línea.
Al establecer procedimientos de verificación sólidos, las organizaciones pueden reducir significativamente el riesgo de acceso no autorizado a subdominios, protegiendo así tanto sus activos digitales como a los usuarios finales de posibles amenazas cibernéticas y actividades maliciosas en línea.
En última instancia, esta práctica preventiva no solo salvaguarda la integridad y la seguridad de las organizaciones en línea, sino que también contribuye a la construcción de un entorno digital más seguro y confiable para todos los usuarios.
La conciencia y la implementación diligente de medidas de seguridad son esenciales para mantener la confianza en las operaciones en línea y mitigar los riesgos asociados con el secuestro de subdominios y otras formas de ciberataques.
Las recientes revelaciones han surgido en un momento en que Akamai ha expuesto que los adversarios están aprovechando cada vez más los algoritmos de generación de dominios (DGA) sembrados dinámicamente. Esta táctica se utiliza para evitar la detección y complicar el análisis, lo que efectivamente extiende la vida útil de los canales de comunicación de comando y control (C2) utilizados por los atacantes.
Los investigadores de seguridad, Connor Faulkner y Stijn Tilborghs, han subrayado la complejidad de este escenario. A diferencia de las situaciones donde se pueden prever los dominios DGA que se activarán en el futuro, como aquellos generados a través de semillas predecibles, como algoritmos matemáticos, los algoritmos de generación de dominios basados en semillas impredecibles, como datos de Google Trends, temperaturas o tipos de cambio, son inmanejables. Incluso si se cuenta con el código fuente de la familia del malware, no es posible predecir con precisión los nombres de dominio DGA que se generarán en el futuro.
Esta sofisticación en las técnicas de evasión subraya la constante adaptación de los ciberdelincuentes, quienes buscan métodos cada vez más elusivos para eludir la detección y prolongar la eficacia de sus operaciones maliciosas. Ante este escenario, la comunidad de seguridad cibernética se enfrenta a desafíos significativos, ya que debe desarrollar estrategias innovadoras y herramientas avanzadas para contrarrestar estas tácticas evasivas y proteger eficazmente a los usuarios finales de las crecientes amenazas de botnets y ataques cibernéticos.
En agosto, un grupo de académicos de la Universidad de California, Irvine, y la Universidad de Tsinghua, revelaron un ataque de envenenamiento de DNS llamado MaginotDNS. Este ataque explota las fallas en los algoritmos de verificación de la bailía para apoderarse de zonas DNS enteras, incluyendo dominios de nivel superior como .com y .net.
Los investigadores enfatizaron que la clave para el descubrimiento de MaginotDNS radica en las implementaciones inconsistentes de la bailía entre los diferentes modos DNS. Estas vulnerabilidades no afectan a los reenviadores habituales, ya que no realizan resoluciones de dominio recursivas. Sin embargo, para los servidores DNS condicionales (CDNS), las consecuencias pueden ser graves.
Este hallazgo resalta las vulnerabilidades potenciales en las infraestructuras de DNS y subraya la importancia de una implementación coherente y segura de los algoritmos de verificación de la bailía. La comunidad de seguridad cibernética debe prestar atención a estas debilidades y trabajar en conjunto para desarrollar soluciones robustas que mitiguen las amenazas asociadas con el envenenamiento de DNS y protejan la integridad del sistema de nombres de dominio en línea.
El servidor DNS condicional (CDNS) es un tipo común de servidor DNS que, hasta ahora, no ha sido estudiado de manera sistemática. Este tipo de servidor está configurado para desempeñar el papel de solucionador recursivo y reenviador simultáneamente. Además, los diferentes modos de servidor comparten el mismo caché global. Esta configuración implica que los atacantes pueden aprovechar las vulnerabilidades en el reenviador y “cruzar la frontera”, lo que significa que pueden atacar a los solucionadores recursivos en el mismo servidor.
Esta vulnerabilidad es especialmente preocupante, ya que permite a los atacantes llevar a cabo ataques de envenenamiento de DNS o manipular las respuestas del servidor DNS para dirigir a los usuarios hacia sitios web maliciosos. Al explotar estas debilidades en los servidores CDNS, los atacantes pueden comprometer la integridad de las consultas DNS y, en última instancia, poner en peligro la seguridad de los usuarios al redirigirlos a sitios web falsos o maliciosos.
Ante esta amenaza, es crucial que la comunidad de seguridad cibernética investigue y comprenda a fondo las vulnerabilidades asociadas con los servidores CDNS y desarrolle medidas efectivas para protegerse contra los ataques que aprovechan estas debilidades en la infraestructura de DNS. La conciencia y la acción proactiva son fundamentales para mitigar este riesgo y garantizar la seguridad y la integridad de las comunicaciones en línea.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
TQ6702 GEN2-R: ALLIED TELESIS PRESENTA EL ROUTER INALÁMBRICO TODO EN 1
Lazarus: la sofisticación de un grupo que aumenta en 2023
Detección y respuesta de amenazas con IA: IBM anuncia nuevos servicios 2023
PyMEs 2023: Usuarios esperan que adopten servicios de pagos online
Israel: también es atacado por grupos pro rusos – Oct 2023 (actualizado)