Zero-Day-Lücke gefährdete zahlreiche Cloudflare-Instanzen

Cloudflare sieht seine Aufgabe eigentlich darin, andere vor Angriffen zu schützen. Durch eine Zero-Day-Schwachstelle in den eigenen Systemen stand man nun aber selbst möglichen Attacken erst einmal wehrlos gegenüber.

Unsaubere Verifizierung

Eine bislang unbekannte Sicherheitslücke in der Web Application Firewall (WAF) von Cloudflare hat es Angreifern ermöglicht, Schutzmechanismen zu umgehen und direkt auf eigentlich abgeschirmte Ursprungssysteme zuzugreifen, teilte das Unternehmen mit. Die Schwachstelle wurde von Sicherheitsforschern des Unternehmens FearsOff entdeckt und als besonders kritisch eingestuft, da sie grundlegende Filterregeln außer Kraft setzen konnte.

Im Zentrum des Problems stand ein spezieller Pfad, der auf nahezu allen modernen Websites existiert: das Verzeichnis /.well-known/acme-challenge/. Dieser Pfad wird vom sogenannten ACME-Protokoll genutzt, das die automatische Ausstellung und Verlängerung von SSL- und TLS-Zertifikaten steuert. Bei der weitverbreiteten HTTP-01-Validierung muss eine Zertifizierungsstelle dort kurzfristig eine Prüfdatei abrufen, um die Kontrolle über eine Domain zu bestätigen. Eigentlich ist dieser Zugriff stark begrenzt und nur für einen einzelnen Verifikationsvorgang gedacht.


Die Forscher stellten jedoch fest, dass Anfragen an genau diesen Pfad selbst dann bis zum Origin-Server durchgereicht wurden, wenn Kunden ihre Cloudflare-WAF so konfiguriert hatten, dass sämtlicher anderer Datenverkehr blockiert wurde. Statt der üblichen Sperrseite antwortete der eigentliche Webserver direkt. Um auszuschließen, dass es sich um einen Konfigurationsfehler einzelner Kunden handelte, richtete FearsOff mehrere Testumgebungen mit unterschiedlichen Technologien ein. In allen Fällen zeigte sich dasselbe Verhalten: Normale Zugriffe wurden blockiert, Anfragen an den ACME-Pfad nicht.

Ursache war ein Fehler in der Verarbeitungslogik von Cloudflares Edge-Netzwerk. Um die Zertifikatsprüfung nicht zu stören, deaktivierte das System bei ACME-Anfragen bestimmte Sicherheitsfunktionen. Wurde jedoch ein Token angefordert, das nicht zu einer von Cloudflare selbst verwalteten Zertifikatsbestellung gehörte, griff diese Ausnahme zu weit, die Anfrage wurde vollständig an der WAF vorbei direkt weitergeleitet.

Alles angreifbar

Das eröffnete vielfältige Angriffsmöglichkeiten. Bei Java-Anwendungen auf Basis von Spring oder Tomcat konnten etwa interne Verwaltungsendpunkte erreicht werden, die sensible Umgebungsvariablen und Zugangsdaten preisgaben. Next.js-Anwendungen lieferten interne Server-Antworten aus, die nie öffentlich sichtbar sein sollten. In PHP-Set-ups ließen sich bekannte Datei-Einbindungsfehler ausnutzen, um auf das Dateisystem zuzugreifen. Selbst individuell definierte WAF-Regeln, etwa das Blockieren bestimmter Header, griffen für diesen Pfad nicht.

FearsOff meldete die Schwachstelle Anfang Oktober 2025 über das Bug-Bounty-Programm von Cloudflare. Nach interner Prüfung spielte der Anbieter noch im selben Monat eine dauerhafte Korrektur ein. Sicherheitshalber wurde mit der Veröffentlichung der Sache aber bis jetzt gewartet. Seit der Einführung des Patches werden Sicherheitsfunktionen nur noch dann ausgesetzt, wenn eine Anfrage exakt zu einer gültigen ACME-Validierung für den jeweiligen Host passt. Cloudflare betonte, dass keine Hinweise auf eine aktive Ausnutzung der Schwachstelle vorliegen und Kunden nichts weiter unternehmen müssen.


Siehe auch: