Um enorme "ponto cego" na infraestrutura de segurança da Cloudflare deixou, até recentemente, milhões de servidores vulneráveis a um exploit crítico de dia zero. Investigadores de segurança descobriram uma forma de contornar a Web Application Firewall (WAF) da gigante tecnológica e aceder a dados privados, explorando o processo de renovação de certificados HTTPS.
A WAF da Cloudflare atua como um escudo essencial, protegendo servidores e aplicações contra pedidos maliciosos e filtrando tráfego indesejado. No entanto, uma configuração incorreta inadvertida fez com que este escudo "fechasse os olhos" a URLs destinados especificamente a renovações de certificados, criando uma via verde para potenciais atacantes.
O "passe livre" através dos certificados
A vulnerabilidade residia na forma como a Cloudflare geria o caminho /.well-known/acme-challenge/. Este caminho é utilizado pelas autoridades de certificação (CAs) para verificar tokens quando os sites renovam automaticamente os seus certificados HTTPS a cada poucos meses.
Os investigadores da FearsOff, um grupo de hackers "white-hat", descobriram que, ao sondar esta rota específica, a WAF da Cloudflare deixava de atuar como barreira, permitindo que os pedidos chegassem diretamente ao servidor de origem. Esta falha expôs uma vasta gama de vulnerabilidades em diversas plataformas web populares, incluindo Spring/Tomcat, Next.js e PHP.
Ao criar URLs específicos, os investigadores conseguiram aceder a dados privados e ficheiros de ambiente sensíveis. Em servidores PHP, por exemplo, foi possível explorar bugs de encaminhamento para aceder a ficheiros de sistema ou roubar bases de dados inteiras.
Correção silenciosa e impacto
O impacto desta falha foi significativo. Em servidores Next.js, a exploração poderia forçar a exposição de detalhes operacionais que nunca deveriam estar acessíveis na internet pública. Os atacantes poderiam ainda usar outros truques, como envenenar a cache de um site para servir conteúdos maliciosos aos utilizadores ou revelar chaves de API e credenciais de base de dados.
Felizmente, a situação foi resolvida antes de causar danos maiores conhecidos. Os investigadores divulgaram o bug de forma responsável e a correção foi implementada em outubro de 2025. Segundo explicou a Cloudflare, a empresa alterou o seu código para garantir que a WAF permanece ativa, a menos que um pedido seja confirmado como uma verificação real de certificado para aquele site específico. Não é necessária qualquer ação por parte dos clientes.
Nenhum comentário
Seja o primeiro!