Un percorso poco visibile, utilizzato per la gestione dei certificati di sicurezza dei siti web, ha permesso per alcune settimane di aggirare le protezioni di Cloudflare e raggiungere direttamente i server delle applicazioni. La vulnerabilità è stata corretta alla fine di ottobre 2025, dopo una segnalazione formale e una fase di verifica.
Il problema è stato individuato il 9 ottobre 2025 e risolto definitivamente il 27 ottobre 2025, con il coinvolgimento anche del team di sicurezza di Crypto.com.
Cosa è successo
Cloudflare utilizza un percorso specifico per consentire alle autorità di certificazione di verificare il controllo di un dominio. Quel percorso, identificato come /.well-known/acme-challenge/, è normalmente usato solo per brevi operazioni automatiche.
Advertising
In questo caso, però, quel passaggio veniva trattato come un’eccezione. Le richieste dirette a quell’indirizzo venivano inoltrate ai server originali dei siti, anche quando tutte le altre connessioni erano bloccate dalle regole di sicurezza impostate dai clienti.
Un accesso non previsto
Durante alcuni controlli, i ricercatori hanno notato che, mentre le normali richieste venivano respinte, quelle dirette a quel percorso ricevevano comunque una risposta dai server interni. Non si trattava di un errore di configurazione isolato, ma di un comportamento ripetibile su più ambienti.
Per confermarlo, sono stati utilizzati siti di prova volutamente chiusi al traffico esterno. Anche in questi casi, l’accesso attraverso il percorso “.well-known” restituiva risposte provenienti direttamente dalle applicazioni.
Perché il problema era serio
L’accesso non si limitava a mostrare semplici pagine di errore. A seconda del tipo di applicazione, era possibile raggiungere aree normalmente non esposte o leggere informazioni interne.
In alcuni casi, questo permetteva di visualizzare impostazioni e dati sensibili. In altri, di accedere a file presenti sul server. Tutto questo avveniva senza superare i controlli di sicurezza normalmente applicati da Cloudflare.
Advertising
Le regole ignorate
Un altro aspetto critico riguardava le intestazioni delle richieste. Le protezioni che bloccano richieste sospette in base a determinati parametri non venivano applicate quando il traffico passava da quel percorso specifico.
Questo apriva la strada a manipolazioni più complesse delle richieste, aumentando i rischi per le applicazioni esposte.
Il ruolo dell’automazione
La segnalazione da parte dei ricercatori di Fearsoff evidenzia anche come strumenti automatizzati, oggi sempre più diffusi, possano rendere più semplice individuare su larga scala questi punti di accesso non protetti. Allo stesso tempo, strumenti di analisi avanzata sono stati utilizzati anche dai team di difesa per confermare il problema.
La verifica e la correzione
Prima della segnalazione ufficiale a Cloudflare, la vulnerabilità è stata verificata in modo indipendente dal team di sicurezza di Crypto.com, guidato dal CISO Jason Lau.
Dopo la segnalazione del 9 ottobre 2025, Cloudflare ha modificato il comportamento del sistema, impedendo che quel percorso speciale potesse aggirare le regole di sicurezza dei clienti. La correzione è stata completata il 27 ottobre 2025.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.