網(wǎng)易首頁 > 網(wǎng)易號(hào) > 正文申請(qǐng)入駐

【安全圈】Cloudflare 零日漏洞：可繞過 WAF 訪問全球任意后端主機(jī)

2026-01-22 19:24:32　來源: 安全圈

江蘇舉報(bào)

分享至

關(guān)鍵詞

0day漏洞

Cloudflare 已修復(fù)其 ACME 驗(yàn)證邏輯中的一項(xiàng)漏洞，該漏洞可能允許攻擊者繞過安全檢查并訪問受保護(hù)的源站服務(wù)器。

Cloudflare 表示，其 ACME HTTP-01 驗(yàn)證流程中存在缺陷，問題出在Cloudflare 邊緣節(jié)點(diǎn)對(duì)/.well-known/acme-challenge/路徑請(qǐng)求的處理方式上。該公司稱，未發(fā)現(xiàn)該漏洞被惡意利用的跡象。

ACME 是一種用于讓證書頒發(fā)機(jī)構(gòu)驗(yàn)證域名所有權(quán)的協(xié)議。在 HTTP-01 驗(yàn)證方式下，CA 會(huì)訪問一個(gè)包含一次性令牌的特定 URL；如果返回內(nèi)容匹配，即可簽發(fā)證書。按設(shè)計(jì)，該過程只應(yīng)允許訪問這一精確路徑，而不能訪問其他任何資源。

漏洞是如何被發(fā)現(xiàn)的

研究人員在測(cè)試部署在 Cloudflare 之后、且 WAF 僅允許特定來源訪問的應(yīng)用時(shí)發(fā)現(xiàn)，對(duì)/.well-known/acme-challenge/{token}的請(qǐng)求繞過了 WAF，并直接到達(dá)源站服務(wù)器。

在演示主機(jī)上的測(cè)試證實(shí)了這一行為：

對(duì)普通路徑的訪問會(huì)返回 Cloudflare 的攔截頁面；
而對(duì) ACME 路徑的訪問，即使沒有真實(shí)的令牌，也會(huì)返回由源站生成的響應(yīng)。

研究人員通過自定義主機(jī)名創(chuàng)建了一個(gè)穩(wěn)定、處于待驗(yàn)證狀態(tài)的 HTTP-01 令牌，從而能夠在全球范圍內(nèi)可靠地測(cè)試 WAF 的行為。

潛在風(fēng)險(xiǎn)與影響

當(dāng) Cloudflare 的 WAF 允許/.well-known/acme-challenge/...路徑繞過防護(hù)時(shí)，信任邊界從 WAF 轉(zhuǎn)移到了源站。演示應(yīng)用顯示了由此帶來的多種風(fēng)險(xiǎn)，包括：

Spring / Tomcat 端點(diǎn)泄露敏感的環(huán)境變量
Next.js SSR 頁面暴露運(yùn)行和運(yùn)維細(xì)節(jié)
PHP 路由因本地文件包含漏洞暴露文件

此外，賬戶級(jí) WAF 規(guī)則在該路徑上被忽略，使基于請(qǐng)求頭的攻擊成為可能，例如 SSRF、SQL 注入和緩存投毒。

Cloudflare 已于 2025 年 10 月 27 日修復(fù)該問題，恢復(fù)了對(duì)該路徑的一致性 WAF 防護(hù)。

研究人員的警告

安全研究機(jī)構(gòu) FearsOff 在報(bào)告中指出：

“當(dāng)用于檢查請(qǐng)求頭的 WAF 規(guī)則被跳過時(shí)，許多漏洞類型就重新獲得了通往源站的通道：例如遺留代碼中基于請(qǐng)求頭的 SQL 拼接、通過 X-Forwarded-Host 或 X-Original-URL 實(shí)現(xiàn)的 SSRF 和主機(jī)混淆、當(dāng)緩存因請(qǐng)求頭變化而產(chǎn)生的緩存鍵投毒、利用 X-HTTP-Method-Override 的方法覆蓋技巧，以及通過自定義請(qǐng)求頭觸發(fā)的調(diào)試開關(guān)。顯而易見的問題是——還有多少應(yīng)用對(duì)請(qǐng)求頭的信任程度超出應(yīng)有范圍？又有多少應(yīng)用依賴 WAF 來充當(dāng)這種信任與互聯(lián)網(wǎng)之間的防線？”

AI 時(shí)代下的 WAF 繞過風(fēng)險(xiǎn)

報(bào)告還強(qiáng)調(diào)，隨著 AI 驅(qū)動(dòng)攻擊的發(fā)展，這類 WAF 繞過漏洞的危險(xiǎn)性正在上升。AI 能夠迅速發(fā)現(xiàn)并利用暴露的路徑，將多個(gè)小漏洞串聯(lián)成大規(guī)模攻擊。與此同時(shí)，防御方也在使用 AI 進(jìn)行攻擊模擬和防御部署，使強(qiáng)健、全面的 WAF 防護(hù)變得愈發(fā)關(guān)鍵。

報(bào)告總結(jié)稱：

“在 AI 驅(qū)動(dòng)攻擊不斷演進(jìn)的背景下，這類 WAF 繞過漏洞顯得尤為緊迫。由機(jī)器學(xué)習(xí)驅(qū)動(dòng)的自動(dòng)化工具可以快速枚舉并利用諸如 /.well-known/acme-challenge/ 這樣的暴露路徑，在大規(guī)模環(huán)境中探測(cè)特定框架的弱點(diǎn)或配置錯(cuò)誤?！?/blockquote>

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握！
好看你就分享有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧！

特別聲明：以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.