Cloudflare, scoperto un grave bypass che nessuno stava guardando

Un percorso poco visibile, utilizzato per la gestione dei certificati di sicurezza dei siti web, ha permesso per alcune settimane di aggirare le protezioni di Cloudflare e raggiungere direttamente i server delle applicazioni. La vulnerabilità è stata corretta alla fine di ottobre 2025, dopo una segnalazione formale e una fase di verifica.

Il problema è stato individuato il 9 ottobre 2025 e risolto definitivamente il 27 ottobre 2025, con il coinvolgimento anche del team di sicurezza di Crypto.com.

Cosa è successo

Cloudflare utilizza un percorso specifico per consentire alle autorità di certificazione di verificare il controllo di un dominio. Quel percorso, identificato come /.well-known/acme-challenge/, è normalmente usato solo per brevi operazioni automatiche.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In questo caso, però, quel passaggio veniva trattato come un’eccezione. Le richieste dirette a quell’indirizzo venivano inoltrate ai server originali dei siti, anche quando tutte le altre connessioni erano bloccate dalle regole di sicurezza impostate dai clienti.

Un accesso non previsto

Durante alcuni controlli, i ricercatori hanno notato che, mentre le normali richieste venivano respinte, quelle dirette a quel percorso ricevevano comunque una risposta dai server interni. Non si trattava di un errore di configurazione isolato, ma di un comportamento ripetibile su più ambienti.

Per confermarlo, sono stati utilizzati siti di prova volutamente chiusi al traffico esterno. Anche in questi casi, l’accesso attraverso il percorso “.well-known” restituiva risposte provenienti direttamente dalle applicazioni.

Perché il problema era serio

L’accesso non si limitava a mostrare semplici pagine di errore. A seconda del tipo di applicazione, era possibile raggiungere aree normalmente non esposte o leggere informazioni interne.

In alcuni casi, questo permetteva di visualizzare impostazioni e dati sensibili. In altri, di accedere a file presenti sul server. Tutto questo avveniva senza superare i controlli di sicurezza normalmente applicati da Cloudflare.

Le regole ignorate

Un altro aspetto critico riguardava le intestazioni delle richieste. Le protezioni che bloccano richieste sospette in base a determinati parametri non venivano applicate quando il traffico passava da quel percorso specifico.

Questo apriva la strada a manipolazioni più complesse delle richieste, aumentando i rischi per le applicazioni esposte.

Il ruolo dell’automazione

La segnalazione da parte dei ricercatori di Fearsoff evidenzia anche come strumenti automatizzati, oggi sempre più diffusi, possano rendere più semplice individuare su larga scala questi punti di accesso non protetti. Allo stesso tempo, strumenti di analisi avanzata sono stati utilizzati anche dai team di difesa per confermare il problema.

La verifica e la correzione

Prima della segnalazione ufficiale a Cloudflare, la vulnerabilità è stata verificata in modo indipendente dal team di sicurezza di Crypto.com, guidato dal CISO Jason Lau.

Dopo la segnalazione del 9 ottobre 2025, Cloudflare ha modificato il comportamento del sistema, impedendo che quel percorso speciale potesse aggirare le regole di sicurezza dei clienti. La correzione è stata completata il 27 ottobre 2025.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.