CloudflareのWebサイト保護メカニズムが悪用可能に 4つの対策事項は:セキュリティニュースアラート
Certitude ConsultingはCloudflareのWebサイト保護メカニズムを悪用することで、Cloudflareの保護機能をバイパスできると伝えた。
Certitude Consultingは2023年9月28日(現地時間)、Cloudflareが提供するWebサイト保護メカニズムを悪用することで、逆にCloudflareの保護機能を回避できると報じた。
Cloudflareは、ユーザーのWebサーバとユーザーとの間に設置するリバースプロキシサーバのネットワークをホストすることでWebアプリケーションファイアウォールやDDoS攻撃の保護、bot管理などのWebサイト保護サービスを提供している。同サービスのユーザーはこのサービスに依存していることになるため、リバースプロキシサーバを経由しないアクセスに対して保護することが重要になる。
Certitude ConsultingはCloudflareが提供するWebサイト保護メカニズムを悪用することで、逆にCloudflareの保護機能を回避できると報じた(出典:Certitude ConsultingのWebサイト)
CloudflareのWebサイト保護メカニズムが悪用可能に
Certitude Consultingによると、ユーザーはCloudflareの公式ドキュメントに従っていると、Cloudflareプラットフォームを通じて悪用されやすいメカニズムを誤って使用してしまう可能性があるという。
Cloudflare内の全テナントが利用できる共有インフラストラクチャから問題が発生するため、正規の操作かどうかに関係なく問題が起こるとされている。
Certitude Consultingが発見したこの脆弱(ぜいじゃく)性はCloudflareに報告済みとされ、問題は「クローズ」されたと認識されている。Certitude Consultingはクローズから180日以上が経過したことから今回この脆弱性情報を開示したと説明しており、対策としてCloudflareユーザーに次の推奨事項を挙げている。
- Cloudflare IPアドレス許可リストメカニズムは多層防御の一つでありオリジンサーバを保護する唯一の仕組みではないことを認識する
- 「認証されたオリジンプル」のメカニズムはCloudflare証明書ではなくカスタム証明書を使って構成する
- オリジンサーバを保護する際には公式ドキュメントで概要が説明されている「Cloudflareテナント」を認証するための他のメカニズムとさまざまなトレードオフを考慮する
Certitude ConsultingはCloudflareに対してサイバー攻撃に対する保護メカニズムを実行することや構成が弱いユーザーに対して警告を実施することを推奨している。
関連記事
- 「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
GoogleはSMSを40年前の時代遅れの技術でセキュリティ的に問題があると指摘し、より安全なリッチコミュニケーションサービス(RCS)への移行を提案している。 - 「EDRとXDRの違いが分からない」「約9割が人材不足」 企業セキュリティの厳しい実態
サイバーリーズンの調査によって、多くの組織がセキュリティ体制に不備がありXDRの詳細な理解が浅いことが明らかになった。 - 日米政府、中国に関連するBlackTechのサイバー攻撃への注意喚起を発表
NISCは中国関連のサイバー攻撃グループ「BlackTech」に関して注意を喚起するリリースを発表した。このグループは東アジアと米国を標的に情報窃取攻撃を実行しており、対策の提案も含めて詳細が公表された。 - もうOSS保守者に頼らない OpenSSFが「オープンソース消費マニフェスト」を公開
Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.