Blog

Die DDoS-Abwehr von Cloudflare wurde mit Hilfe von Cloudflare umgangen

Die DDoS-Abwehr von Cloudflare wurde mit Hilfe von Cloudflare umgangen

07:58, 03.10.2023

Es hat sich herausgestellt, dass die DDoS-Schutzmaßnahmen von Cloudflare mit den von Cloudflare selbst angebotenen Tools umgangen werden können. Stefan Proksch, ein österreichischer Sicherheitsingenieur, entdeckte die Schwachstelle, indem er einige logische Schwachstellen im mandantenübergreifenden Sicherheitsmanagement ausnutzte. Alles, was er brauchte, war ein kostenloses Cloudflare-Konto und eine Ziel-IP-Adresse.

Das Problem steht im Zusammenhang mit der gemeinsam genutzten Infrastruktur von Cloudflare, die Verbindungen von allen Nutzern annimmt. Es gibt zwei Schwachstellen - eine im Zusammenhang mit Authenticated Origin Pulls-Anfragen und die andere im Zusammenhang mit Whitelisting.

Authenticated Origin Pulls ist eine Funktion, die sicherstellt, dass Anfragen, die an den Ursprungsserver gesendet werden, über Cloudflare gehen (und nicht von einem potenziellen Angreifer). Die Reverse-Proxy-Server von Cloudflare verwenden SSL-Zertifikate zur Authentifizierung gegenüber dem Ursprungsserver (dem Server, der die Website hostet). Dies ermöglicht eine sichere Kommunikation zwischen Cloudflare und dem Ausgangsserver.

Ein Angreifer kann diese Schwachstellen ausnutzen, indem er die folgenden Aktionen durchführt:

  1. Der Angreifer richtet eine benutzerdefinierte Domain in Cloudflare ein und verweist einen A-Eintrag im DNS auf die IP-Adresse des Opfers (Ursprungsserver).
  2. Der Angreifer deaktiviert dann alle Schutzmaßnahmen für diese benutzerdefinierte Domain in seinem Cloudflare.
  3. Sie können nun ihre Angriffe über die Infrastruktur von Cloudflare mit einem gemeinsam genutzten Zertifikat durchführen und so die vom Opfer installierten Schutzmechanismen umgehen.

Laut Proksch kann das Sicherheitsproblem nur durch die Verwendung benutzerdefinierter Zertifikate gelöst werden. Bei der Verwendung von benutzerdefinierten Zertifikaten müssen die Kunden jedoch ihre eigenen Origin-Pull-Zertifikate erstellen und pflegen, was weniger bequem sein kann als die Verwendung eines Cloudflare-Zertifikats.

views 1m, 17s
views 2
Teilen

War dieser Artikel für Sie hilfreich?

VPS beliebte Angebote

Alle Produkte ansehen
  • wKVM-NVMe 8192 wKVM-NVMe 8192
    -9%
    35.5
    /mo
    39 /mo
    Alle 12 Monate abgerechnet
    CPU
    6 Epyc Cores
    RAM
    8 GB
    Space
    100 GB NVMe
    Bandwidth
    Unlimited
  • KVM-SSD 2048 HK KVM-SSD 2048 HK
    -20.4%
    14.33
    /mo
    18 /mo
    Alle 12 Monate abgerechnet
    CPU
    2 Xeon Cores
    RAM
    2 GB
    Space
    30 GB SSD
    Bandwidth
    300 GB
  • wKVM-SSD 16384 wKVM-SSD 16384
    -8.9%
    48.3
    /mo
    53 /mo
    Alle 12 Monate abgerechnet
    CPU
    6 Xeon Cores
    RAM
    16 GB
    Space
    150 GB SSD
    Bandwidth
    Unlimited
  • wKVM-SSD 2048 Metered wKVM-SSD 2048 Metered
    -18.4%
    19.58
    /mo
    24 /mo
    Alle 12 Monate abgerechnet
    CPU
    4 Xeon Cores
    RAM
    2 GB
    Space
    75 GB SSD
    Bandwidth
    2 TB
  • KVM-NVMe 4096 KVM-NVMe 4096
    -10%
    21.15
    /mo
    23.5 /mo
    Alle 12 Monate abgerechnet
    CPU
    4 Epyc Cores
    RAM
    4 GB
    Space
    50 GB NVMe
    Bandwidth
    Unlimited
  • wKVM-SSD 2048 HK wKVM-SSD 2048 HK
    -21.5%
    20.42
    /mo
    26 /mo
    Alle 12 Monate abgerechnet
    CPU
    2 Xeon Cores
    RAM
    2 GB
    Space
    75 GB SSD
    Bandwidth
    300 GB
  • DDoS Protected SSD-KVM 16384 DDoS Protected SSD-KVM 16384
    -10.2%
    110.5
    /mo
    123 /mo
    Alle 6 Monate abgerechnet
    CPU
    6 Xeon Cores
    RAM
    16 GB
    Space
    150 GB SSD
    Bandwidth
    100 Mbps
  • wKVM-SSD 16384 Metered wKVM-SSD 16384 Metered
    -20.8%
    79.25
    /mo
    100 /mo
    Alle 12 Monate abgerechnet
    CPU
    6 Xeon Cores
    RAM
    16 GB
    Space
    150 GB SSD
    Bandwidth
    10 TB
  • KVM-HDD 4096 KVM-HDD 4096
    -10%
    12.15
    /mo
    13.5 /mo
    Alle 12 Monate abgerechnet
    CPU
    4 Xeon Cores
    RAM
    4 GB
    Space
    100 GB HDD
    Bandwidth
    Unlimited
  • KVM-SSD 65536 KVM-SSD 65536
    -9.1%
    150
    /mo
    165 /mo
    Alle 12 Monate abgerechnet
    CPU
    10 Xeon Cores
    RAM
    64 GB
    Space
    300 GB SSD
    Bandwidth
    Unlimited

Weitere Artikel zu diesem Thema

Neue Prozessoren werden deutlich teurer: 2-nm-Wafer von TSMC werden 50% teurer
Neue Prozessoren werden deutlich teurer: 2-nm-Wafer von TSMC werden 50% teurer
Peppermint hat PepMini eingeführt, ein minimales Betriebssystem, basiert auf Debian
Peppermint hat PepMini eingeführt, ein minimales Betriebssystem, basiert auf Debian
Google löscht URLs aus den privaten Sammlungen der Nutzer
Google löscht URLs aus den privaten Sammlungen der Nutzer
Neue Prozessoren werden deutlich teurer: 2-nm-Wafer von TSMC werden 50% teurer
Neue Prozessoren werden deutlich teurer: 2-nm-Wafer von TSMC werden 50% teurer
Peppermint hat PepMini eingeführt, ein minimales Betriebssystem, basiert auf Debian
Peppermint hat PepMini eingeführt, ein minimales Betriebssystem, basiert auf Debian
Google löscht URLs aus den privaten Sammlungen der Nutzer
Google löscht URLs aus den privaten Sammlungen der Nutzer
cookie

Cookies und Datenschutz akzeptieren?

Wir verwenden Cookies, um sicherzustellen, dass wir Ihnen die beste Erfahrung auf unserer Website bieten. Wenn Sie fortfahren, ohne Ihre Einstellungen zu ändern, gehen wir davon aus, dass Sie mit dem Empfang aller Cookies auf der HostZealot-Website einverstanden sind.

Datenschutzrichtlinie Nutzungsbedingungen