Een ernstige kwetsbaarheid in de Web Application Firewall (WAF) van Cloudflare maakte het mogelijk voor aanvallers om toegang te krijgen tot normaal afgeschermde servers. Onderzoekers van FearsOff ontdekten dat verzoeken via de /.well-known/acme-challenge/ directory zonder problemen werden geaccepteerd. Cloudflare heeft dit probleem enkele maanden geleden opgelost. De kwetsbaarheid maakte gebruik van het ACME-protocol, dat automatisch SSL/TLS-certificaten valideert. Certificate Authorities verifiëren de eigenaar van een site door een eenmalige token te laten plaatsen op het pad /.well-known/acme-challenge/{token}. Beheerders gebruiken dit pad om certificaten automatisch te verkrijgen, wat een voordeel is van Cloudflare omdat handmatige certificaatupdates hierdoor overbodig worden. Cloudflare schakelde WAF-functies uit voor dit pad om certificaten soepel te laten vernieuwen. Dit leidde tot een kritieke fout: als de token niet overeenkwam met een Cloudflare-certificaatverzoek, werd het verzoek omzeild en direct naar de client server gestuurd, waardoor Cloudflare-hosts kwetsbaar werden.

Onderzoekers ontdekten meerdere aanvalsmogelijkheden die aantrekkelijk waren voor aanvallers. Gevoelige gegevens zoals database-credentials en API-tokens konden worden verkregen door de kwetsbaarheid. PHP-applicaties met kwetsbaarheden voor lokale bestandsinclusie werden exploiteerbaar, waardoor aanvallers toegang kregen tot het bestandssysteem via kwaadaardige padparameters. FearsOff creëerde demonstratie-hosts zoals cf-php.fearsoff.org om te laten zien dat normale verzoeken blockpagina's opriepen, terwijl ACME-path verzoeken antwoorden van de origin-server terugstuurden. FearsOff meldde de kwetsbaarheid op 9 oktober via Cloudflare's HackerOne bug bounty-programma. Cloudflare begon de validatie op 13 oktober en HackerOne behandelde het probleem op 14 oktober. Het bedrijf implementeerde op 27 oktober een permanente oplossing door de code aan te passen: beveiligingsfuncties worden nu alleen uitgeschakeld wanneer verzoeken overeenkomen met geldige ACME HTTP-01 challenge tokens voor de specifieke hostname. Tests bevestigen dat WAF-regels nu uniform gelden voor alle paden, inclusief het eerder kwetsbare ACME challenge-traject. Cloudflare stelt dat klanten geen actie hoeven te ondernemen en bevestigt dat er geen bewijs is van daadwerkelijke exploitatie.