Cloudflare: DDoS-Schutz mithilfe von Cloudflare selbst umgangen
Das Content Delivery Network (CDN) Cloudflare stellt seinen Kunden eine Firewall sowie Schutz gegen DDoS-Angriffe zur Verfügung. Manche Sicherheits-Features lassen sich allerdings umgehen. Hierfür können Hacker ironischerweise ebenfalls auf Cloudflare zurückgreifen.
Um den DDoS-Schutz von Cloudflare auszuhebeln und bereitgestellte Dienste anzugreifen, benötigen Angreifer ein kostenloses Cloudflare-Konto sowie die IP-Adresse des Webservers, der attackiert werden soll. Wie Stefan Proksch von Certitude (via Bleeping Computer) herausgefunden hat, gibt es eine Schwachstelle in der Infrastruktur, die von allen Kunden gemeinsam genutzt wird.
Cloudflare stellt mit "Authenticated Origin Pulls" sicher, dass Anfragen an einen Webserver über das CDN geleitet werden und nicht von einem Angreifer stammen. Hierfür kann bei der Konfiguration ein Zertifikat hinzugefügt werden, das standardmäßig von Cloudflare generiert wird. Da Cloudflare ein Standard-Zertifikat für alle Nutzer verwendet und kein individuelles Dokument erstellt, wird auch der Datenverkehr eines anderen Cloudflare-Kunden vom Server akzeptiert. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
Nun kann ein Hacker eine eigene Domain mit Cloudflare konfigurieren und den DNS-A-Eintrag auf die IP-Adresse des Opfers verweisen. Sobald der Angreifer dann die Schutzmechanismen für seine Domain deaktiviert, kann eine DDoS-Attacke gestartet werden. Der Datenverkehr wird an den Zielserver geleitet.
Obwohl die Schwachstellen dem Cloud-Anbieter bereits Mitte März gemeldet wurden, hat Cloudflare bislang keine zusätzlichen Maßnahmen eingeführt, um derartige Angriffe zu erschweren. Ob das Unternehmen hier zukünftig nachbessert und weitere Schutzmechanismen implementiert oder Kunden vor gefährlichen Konfigurationen warnt, bleibt offen.
Siehe auch:
Cloudflare stellt mit "Authenticated Origin Pulls" sicher, dass Anfragen an einen Webserver über das CDN geleitet werden und nicht von einem Angreifer stammen. Hierfür kann bei der Konfiguration ein Zertifikat hinzugefügt werden, das standardmäßig von Cloudflare generiert wird. Da Cloudflare ein Standard-Zertifikat für alle Nutzer verwendet und kein individuelles Dokument erstellt, wird auch der Datenverkehr eines anderen Cloudflare-Kunden vom Server akzeptiert. Infografik Hacking & Cyberkriminalität: Die größten Datendiebstähle der Welt
Nun kann ein Hacker eine eigene Domain mit Cloudflare konfigurieren und den DNS-A-Eintrag auf die IP-Adresse des Opfers verweisen. Sobald der Angreifer dann die Schutzmechanismen für seine Domain deaktiviert, kann eine DDoS-Attacke gestartet werden. Der Datenverkehr wird an den Zielserver geleitet.
Kunden sollten eigene Zertifikate nutzen
Das Problem besteht zusammengefasst darin, dass ein Angreifer mit einem Cloudflare-Account schädlichen Traffic an andere Kunden des Dienstes weiterleiten kann. Die Attacke wird also über die Infrastruktur des Anbieters durchgeführt, der eigentlich hiervor schützen soll. Die Schwachstelle kann geschlossen werden, indem Kunden eigene Zertifikate und nicht die von Cloudflare generierten Zertifikate verwenden. Zudem sollte der Aegis-Dienst genutzt werden, um die zugewiesenen IP-Adressbereiche einzuschränken.Obwohl die Schwachstellen dem Cloud-Anbieter bereits Mitte März gemeldet wurden, hat Cloudflare bislang keine zusätzlichen Maßnahmen eingeführt, um derartige Angriffe zu erschweren. Ob das Unternehmen hier zukünftig nachbessert und weitere Schutzmechanismen implementiert oder Kunden vor gefährlichen Konfigurationen warnt, bleibt offen.
Zusammenfassung
- Cloudflare bietet Firewall und Schutz gegen DDoS-Angriffe.
- Sicherheitslücke ermöglicht Umgehung einiger Schutzfunktionen.
- Angreifer benötigen kostenloses Cloudflare-Konto und IP-Adresse des Ziels.
- Standardisierte Zertifikate ermöglichen Umleitung des Datenverkehrs.
- DDoS-Attacken können über Cloudflare-Infrastruktur ausgeführt werden.
- Schwachstelle kann durch Verwendung eigener Zertifikate geschlossen werden.
- Cloudflare hat bisher keine weiteren Gegenmaßnahmen ergriffen.
Siehe auch:
- "Piraterie"-Fall wegen ungenauen Infos gegen Cloudflare abgewiesen
- "Jeder hasst sie": Cloudflare will Captchas den Todesstoß versetzen
- Cloudflare will Blockaden von 1.1.1.1 DNS-Resolvern bekämpfen
- "Unmittelbare Lebensgefahr": Cloudflare blockiert Kiwi Farms doch
- Cloudflare will nie mehr Internet- und Piraterie-Polizei spielen
Thema:
Videos zum Thema Sicherheit
-
E-Mail-Sicherheitslücke in Microsoft Office lässt sich einfach abstellen
-
Vorsicht vor Windows Toolbox: Malware kommt unerkannt mit
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Cambridge Analyticas großer Hack - Neuer Trailer zur Netflix-Doku
-
Zum Abschuss freigegeben: iOS-Geräte sind per Funk angreifbar
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Hardware-Firewall:
Weiterführende Links
Neue Nachrichten
- Nur für 3 Stunden: Riesiger 85" Mini-LED-TV bei Media Markt im Angebot
- Zero Trust: Windows Server startet verschlüsselte Namensauflösung
- Nvidia GPU RTX Pro 6000: Preis steigt um krasse 55 Prozent
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon