A Cloudflare anunciou a correção de uma vulnerabilidade de segurança relacionada à lógica de validação do seu Ambiente de Gerenciamento Automático de Certificados (ACME). A falha poderia permitir a evasão de controles de segurança e o acesso não autorizado a servidores de origem.
Segundo Hrushikesh Deshpande, Andrew Mitchell e Leland Garofalo, engenheiros da empresa de infraestrutura web, o problema estava ligado à forma como a rede de borda da Cloudflare processava solicitações direcionadas ao caminho do desafio ACME HTTP-01, localizado em /.well-known/acme-challenge/*.
Apesar da gravidade potencial, a Cloudflare informou que não encontrou indícios de exploração maliciosa da vulnerabilidade antes da correção.
O ACME é um protocolo de comunicação definido pela RFC 8555, projetado para automatizar a emissão, renovação e revogação de certificados SSL/TLS. Cada certificado emitido por uma Autoridade Certificadora (CA) depende de desafios que confirmam a posse e o controle do domínio pelo solicitante.
Em cenários comuns, esse processo é conduzido por clientes ACME, como o Certbot, que validam a propriedade do domínio por meio de desafios HTTP-01 ou DNS-01 e gerenciam todo o ciclo de vida dos certificados. No caso do desafio HTTP-01, a validação ocorre pela verificação de um token e da impressão digital da chave, disponibilizados em um endereço específico no servidor web, geralmente acessado pela porta HTTP 80.
Durante o processo, o servidor da Autoridade Certificadora realiza uma requisição HTTP GET ao endereço definido para recuperar o arquivo de validação. Após a confirmação, o certificado é emitido e a conta ACME associada passa a ter autorização para administrar o domínio correspondente.
Quando o desafio HTTP-01 está vinculado a um certificado gerenciado pela Cloudflare, a própria empresa responde à solicitação no caminho indicado, fornecendo o token emitido pela CA. No entanto, se a requisição não estiver associada a um certificado sob gestão da Cloudflare, a solicitação é encaminhada ao servidor de origem do cliente, que pode utilizar um mecanismo diferente de validação de domínio.
Fonte: The Hacker News
