Certitude ConsultingはCloudflareのWebサイト保護メカニズムを悪用することで、Cloudflareの保護機能をバイパスできると伝えた。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Certitude Consultingは2023年9月28日(現地時間)、Cloudflareが提供するWebサイト保護メカニズムを悪用することで、逆にCloudflareの保護機能を回避できると報じた。
Cloudflareは、ユーザーのWebサーバとユーザーとの間に設置するリバースプロキシサーバのネットワークをホストすることでWebアプリケーションファイアウォールやDDoS攻撃の保護、bot管理などのWebサイト保護サービスを提供している。同サービスのユーザーはこのサービスに依存していることになるため、リバースプロキシサーバを経由しないアクセスに対して保護することが重要になる。
Certitude Consultingによると、ユーザーはCloudflareの公式ドキュメントに従っていると、Cloudflareプラットフォームを通じて悪用されやすいメカニズムを誤って使用してしまう可能性があるという。
Cloudflare内の全テナントが利用できる共有インフラストラクチャから問題が発生するため、正規の操作かどうかに関係なく問題が起こるとされている。
Certitude Consultingが発見したこの脆弱(ぜいじゃく)性はCloudflareに報告済みとされ、問題は「クローズ」されたと認識されている。Certitude Consultingはクローズから180日以上が経過したことから今回この脆弱性情報を開示したと説明しており、対策としてCloudflareユーザーに次の推奨事項を挙げている。
Certitude ConsultingはCloudflareに対してサイバー攻撃に対する保護メカニズムを実行することや構成が弱いユーザーに対して警告を実施することを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.