Cloudflare、ACME検証時にWAFバイパスを引き起こす脆弱性を修正：セキュリティニュースアラート

CloudflareはACME検証ロジックの不備により、WAFをバイパスしてオリジンに到達可能な脆弱性を修正した。特定のパスで制限が評価されず内部情報が露出する恐れがあるという。

[ITmedia エンタープライズ編集部]

　Cloudflareは2026年1月19日（現地時間）、証明書自動管理プロトコルACMEの検証処理に関する脆弱（ぜいじゃく）性を修正したと発表した。

　この修正は、2025年10月にセキュリティ企業FearsOffが報告した問題を受けて実施されたもので、同社は脆弱性の調査結果を公開している。

ACME検証ロジックの不備が原因　WAFアクセス制限を回避する実証デモを確認

　FearsOffの調査では、Webアプリケーションファイアウォール（WAF）が一般的なアクセス制限ルールで外部からのリクエストを遮断する設定でも、ACMEチャレンジパスへアクセスした場合にはWAFの制御を経ずにオリジンサーバまで到達して応答が返される事例が確認されたという。

　Cloudflare配下に設置した複数のデモ環境で、通常のパスではWAFによる遮断画面が表示されるにもかかわらず、「/.well-known/acme-challenge/」以下の任意のトークンのパスではアプリケーション由来の応答（404エラーなど）が返ることを示した。検証待ち状態のトークンを利用することで、長期間にわたりこのパスを使った挙動を再現できる点が示されている。

　Cloudflareは問題の根幹をACME検証ロジックの不備にあったと説明した。従来、このチャレンジ処理はCloudflare側で応答トークンを返す設計となっており、それに伴って一部のWAF機能をオフにする仕組みが存在した。これは認証局が正しくトークンを取得できるようにするための配慮だとされたが、Cloudflareが管理しないゾーンのトークンが指定された場合、無効化処理が働き、WAFによる評価を通さずにオリジンへ通信が届く状況が起きていたと説明している。

　FearsOffの報告においては、この挙動はWAFが制御すべきルールにもかかわらず評価されない結果につながり、本来WAFで隠ぺいされるべきオリジンのデバッグエンドポイントや設定情報が、外部から探索・露出するリスクを示している。実際の検証ではWAFで特定のリクエストを遮断するルールを設定しても、同一リクエストをACMEチャレンジパスに送信した場合、適用されない状況が観測された。アプリケーション内部の挙動が外部に露出し得る可能性が指摘されているが、Cloudflareによると、該当の脆弱性を悪用した実際の攻撃の痕跡は確認されていないという。

　Cloudflareはこの脆弱性に対し2025年10月27日に修正を展開した。この修正ではセキュリティ機能の無効化が許される条件を有効な「ACME HTTP-01」チャレンジトークンとホスト名が一致し、Cloudflareが応答を提供する場合に限定するようコードを変更した。これによって「/.well-known/acme-challenge/」パスでも通常の遮断ルールが適用され、WAFが設定された全てのルールを評価する挙動が確認されている。

　Cloudflareは公式ブログでFearsOffによる報告への謝意を表明し、今後も脆弱性報告の共有と迅速な対応に取り組む姿勢を示した。今回の修正については利用者側での追加対応は不要と説明している。