Cloudflare ha solucionado una vulnerabilidad de seguridad que afecta la lógica de validación del Entorno de gestión automática de certificados (ACME), permitiendo eludir los controles de seguridad y acceder a los servidores de origen.
“La vulnerabilidad se basó en la forma en que nuestra red perimetral procesó las solicitudes destinadas a la ruta de desafío ACME HTTP-01 (/.well-known/acme-challenge/*)”, dijeron Hrushikesh Deshpande, Andrew Mitchell y Leland Garofalo de la empresa de infraestructura web.
La empresa de infraestructura web dijo que no encontró evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malicioso.
ACME es un protocolo de comunicaciones (RFC 8555) que permite la emisión, renovación y revocación automática de certificados SSL/TLS. Cada certificado proporcionado a un sitio web por una autoridad certificadora (CA) se valida mediante comprobaciones para demostrar la propiedad del dominio.
Este proceso generalmente se logra utilizando un cliente ACME como Certbot, que demuestra la propiedad del dominio mediante un desafío HTTP-01 (o DNS-01) y administra el ciclo de vida del certificado. El desafío HTTP-01 busca un token de validación y una huella digital clave ubicada en el servidor web en https://.
El servidor de CA realiza una solicitud HTTP GET a esa URL exacta para recuperar el archivo. Una vez que la verificación es exitosa, se emite el certificado y la CA marca la cuenta ACME (es decir, la entidad registrada en su servidor) como autorizada para administrar ese dominio en particular.
Si el desafío es utilizado por un pedido de certificado administrado por Cloudflare, Cloudflare responderá de la manera anterior y proporcionará a la persona que llama el token proporcionado por la CA. Sin embargo, si el pedido no es un pedido administrado por Cloudflare, la solicitud se enrutará al origen del cliente, que puede utilizar un sistema de validación de dominio diferente.
La vulnerabilidad descubierta y reportada por FearsOff en octubre de 2025 tiene que ver con una implementación defectuosa del proceso de validación ACME que desencadena ciertas solicitudes de desafío a la URL para deshabilitar las reglas del Web Application Firewall (WAF) y permitirle llegar al servidor de origen cuando debería haber sido bloqueado.
En otras palabras, la lógica no pudo verificar que el token en la solicitud realmente coincidiera con un desafío activo para ese nombre de host en particular, lo que permitió efectivamente a un atacante enviar solicitudes arbitrarias a la ruta ACME y eludir por completo la protección WAF, dándoles la oportunidad de llegar al servidor de origen.
“Anteriormente, cuando Cloudflare proporcionaba un token de desafío HTTP-01 y la ruta solicitada por la persona que llama coincidía con un token para un desafío activo en nuestro sistema, la lógica que proporcionaba un token de desafío ACME deshabilitaba las capacidades WAF porque Cloudflare proporcionaría la respuesta directamente”, explicó la compañía.
“Esto se hace porque estas características pueden afectar la capacidad de la CA para validar los valores del token y darían lugar a errores en los pedidos y renovaciones de certificados automatizados. Sin embargo, en el escenario en el que el token utilizado está asociado con una zona diferente y no es administrado directamente por Cloudflare, la solicitud se puede redirigir al origen del cliente sin procesamiento adicional por parte de los conjuntos de reglas WAF”.
Kirill Firsov, fundador y director ejecutivo de FearsOff, dijo que la vulnerabilidad podría ser explotada por un usuario malicioso para obtener un token determinista y de larga duración y acceder a archivos confidenciales en el servidor de origen en todos los hosts de Cloudflare, abriendo la puerta al reconocimiento.
Cloudflare resolvió la vulnerabilidad el 27 de octubre de 2025 con un cambio de código que proporciona la respuesta y deshabilita las capacidades WAF solo si la solicitud coincide con un token de desafío ACME HTTP-01 válido para ese nombre de host.
About The Author
