CloudflareのWebサイト保護メカニズムが悪用可能に 4つの対策事項はセキュリティニュースアラート

Certitude ConsultingはCloudflareのWebサイト保護メカニズムを悪用することで、Cloudflareの保護機能をバイパスできると伝えた。

» 2023年10月03日 09時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Certitude Consultingは2023年9月28日(現地時間)、Cloudflareが提供するWebサイト保護メカニズムを悪用することで、逆にCloudflareの保護機能を回避できると報じた。

 Cloudflareは、ユーザーのWebサーバとユーザーとの間に設置するリバースプロキシサーバのネットワークをホストすることでWebアプリケーションファイアウォールやDDoS攻撃の保護、bot管理などのWebサイト保護サービスを提供している。同サービスのユーザーはこのサービスに依存していることになるため、リバースプロキシサーバを経由しないアクセスに対して保護することが重要になる。

Certitude ConsultingはCloudflareが提供するWebサイト保護メカニズムを悪用することで、逆にCloudflareの保護機能を回避できると報じた(出典:Certitude ConsultingのWebサイト)

CloudflareのWebサイト保護メカニズムが悪用可能に

 Certitude Consultingによると、ユーザーはCloudflareの公式ドキュメントに従っていると、Cloudflareプラットフォームを通じて悪用されやすいメカニズムを誤って使用してしまう可能性があるという。

 Cloudflare内の全テナントが利用できる共有インフラストラクチャから問題が発生するため、正規の操作かどうかに関係なく問題が起こるとされている。

 Certitude Consultingが発見したこの脆弱(ぜいじゃく)性はCloudflareに報告済みとされ、問題は「クローズ」されたと認識されている。Certitude Consultingはクローズから180日以上が経過したことから今回この脆弱性情報を開示したと説明しており、対策としてCloudflareユーザーに次の推奨事項を挙げている。

  • Cloudflare IPアドレス許可リストメカニズムは多層防御の一つでありオリジンサーバを保護する唯一の仕組みではないことを認識する
  • 「認証されたオリジンプル」のメカニズムはCloudflare証明書ではなくカスタム証明書を使って構成する
  • オリジンサーバを保護する際には公式ドキュメントで概要が説明されている「Cloudflareテナント」を認証するための他のメカニズムとさまざまなトレードオフを考慮する

 Certitude ConsultingはCloudflareに対してサイバー攻撃に対する保護メカニズムを実行することや構成が弱いユーザーに対して警告を実施することを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ