Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un percorso poco visibile, utilizzato per la gestione dei certificati di sicurezza dei siti web, ha permesso per alcune settimane di aggirare le protezioni di Cloudflare e raggiungere direttamente i server delle applicazioni. La vulnerabilità è stata corretta alla fine di ottobre 2025, dopo una segnalazione formale e una fase di verifica.
Il problema è stato individuato il 9 ottobre 2025 e risolto definitivamente il 27 ottobre 2025, con il coinvolgimento anche del team di sicurezza di Crypto.com.
Cloudflare utilizza un percorso specifico per consentire alle autorità di certificazione di verificare il controllo di un dominio. Quel percorso, identificato come /.well-known/acme-challenge/, è normalmente usato solo per brevi operazioni automatiche.
In questo caso, però, quel passaggio veniva trattato come un’eccezione. Le richieste dirette a quell’indirizzo venivano inoltrate ai server originali dei siti, anche quando tutte le altre connessioni erano bloccate dalle regole di sicurezza impostate dai clienti.
Durante alcuni controlli, i ricercatori hanno notato che, mentre le normali richieste venivano respinte, quelle dirette a quel percorso ricevevano comunque una risposta dai server interni. Non si trattava di un errore di configurazione isolato, ma di un comportamento ripetibile su più ambienti.
Per confermarlo, sono stati utilizzati siti di prova volutamente chiusi al traffico esterno. Anche in questi casi, l’accesso attraverso il percorso “.well-known” restituiva risposte provenienti direttamente dalle applicazioni.
L’accesso non si limitava a mostrare semplici pagine di errore. A seconda del tipo di applicazione, era possibile raggiungere aree normalmente non esposte o leggere informazioni interne.
In alcuni casi, questo permetteva di visualizzare impostazioni e dati sensibili. In altri, di accedere a file presenti sul server. Tutto questo avveniva senza superare i controlli di sicurezza normalmente applicati da Cloudflare.
Un altro aspetto critico riguardava le intestazioni delle richieste. Le protezioni che bloccano richieste sospette in base a determinati parametri non venivano applicate quando il traffico passava da quel percorso specifico.
Questo apriva la strada a manipolazioni più complesse delle richieste, aumentando i rischi per le applicazioni esposte.
La segnalazione da parte dei ricercatori di Fearsoff evidenzia anche come strumenti automatizzati, oggi sempre più diffusi, possano rendere più semplice individuare su larga scala questi punti di accesso non protetti. Allo stesso tempo, strumenti di analisi avanzata sono stati utilizzati anche dai team di difesa per confermare il problema.
Prima della segnalazione ufficiale a Cloudflare, la vulnerabilità è stata verificata in modo indipendente dal team di sicurezza di Crypto.com, guidato dal CISO Jason Lau.
Dopo la segnalazione del 9 ottobre 2025, Cloudflare ha modificato il comportamento del sistema, impedendo che quel percorso speciale potesse aggirare le regole di sicurezza dei clienti. La correzione è stata completata il 27 ottobre 2025.
