13 октября 2025 года исследователи безопасности из FearsOff обнаружили и сообщили об уязвимости в логике валидации ACME (Automatic Certificate Management Environment) компании Cloudflare, которая отключала некоторые функции WAF на определённых путях, связанных с ACME. Уязвимость была сообщена и подтверждена через программу вознаграждений за уязвимости Cloudflare.
Уязвимость была связана с тем, как наша периферийная сеть обрабатывала запросы, предназначенные для пути HTTP-01 вызова ACME (/.well-known/acme-challenge/*).
Здесь мы кратко объясним, как работает этот протокол, и какие меры мы предприняли для устранения уязвимости.
Cloudflare устранил эту уязвимость, и клиентам Cloudflare не требуется предпринимать никаких действий. Нам не известно о каких-либо злоумышленниках, которые использовали бы эту уязвимость.
Как работает ACME для валидации сертификатов
ACME — это протокол, используемый для автоматизации выпуска, обновления и отзыва SSL/TLS-сертификатов. Когда для подтверждения владения доменом используется HTTP-01 вызов, центр сертификации (CA) будет ожидать найти токен подтверждения по HTTP-пути в формате http://{домен клиента}/.well-known/acme-challenge/{значение токена}.
Если этот вызов используется для заказа сертификата, управляемого Cloudflare, то Cloudflare будет отвечать по этому пути и предоставлять токен, выданный центром сертификации, вызывающей стороне. Если предоставленный токен не связан с заказом, управляемым Cloudflare, то этот запрос будет передан на исходный сервер клиента, поскольку он может пытаться завершить проверку домена в рамках какой-либо другой системы. Для получения более подробной информации ознакомьтесь со схемой ниже — другие сценарии использования обсуждаются далее в публикации блога.
Базовая логическая ошибка
Определённые запросы к /.well-known/acme-challenge/* приводили к тому, что логика, обслуживающая токены вызова ACME, отключала функции WAF для запроса на вызов и позволяла запросу на вызов продолжить работу к исходному серверу, тогда как он должен был быть заблокирован.
Ранее, когда Cloudflare обслуживал токен HTTP-01 вызова, если путь, запрошенный вызывающей стороной, соответствовал токену для активного вызова в нашей системе, логика, обслуживающая токен вызова ACME, отключала функции WAF, поскольку Cloudflare напрямую предоставлял ответ. Это делается потому, что эти функции могут мешать способности центра сертификации проверить значения токенов и приводили бы к сбоям автоматических заказов и обновлений сертификатов.
Однако в сценарии, когда использованный токен был связан с другой зоной и не управлялся напрямую Cloudflare, запросу разрешалось продолжить движение к исходному серверу клиента без дальнейшей обработки наборами правил WAF.
Как мы устранили эту уязвимость
Для устранения этой проблемы был выпущен код с изменениями. Это изменение кода позволяет отключать набор функций безопасности только в том случае, если запрос соответствует действительному токену HTTP-01 вызова ACME для имени хоста. В этом случае у Cloudflare есть ответ на вызов для возврата.
Клиенты Cloudflare защищены
Как мы отмечали выше, Cloudflare устранил эту уязвимость, и клиентам Cloudflare не требуется предпринимать никаких действий. Кроме того, нам не известно о каких-либо злоумышленниках, которые использовали бы эту уязвимость.
Быстрое реагирование и прозрачность в отношении уязвимостей
Как и всегда, мы благодарим внешних исследователей за ответственное раскрытие этой уязвимости. Мы призываем сообщество Cloudflare сообщать о любых обнаруженных уязвимостях, чтобы помочь нам постоянно повышать уровень безопасности наших продуктов и платформы.