Cloudflare đã khắc phục một lỗ hổng bảo mật ảnh hưởng đến logic xác thực của Automatic Certificate Management Environment (ACME), vốn cho phép vượt qua các biện pháp kiểm soát bảo mật và truy cập vào các origin servers.
"Lỗ hổng này xuất phát từ cách mạng lưới biên của chúng tôi xử lý các yêu cầu đến đường dẫn thử thách ACME HTTP-01 (/.well-known/acme-challenge/*)," Hrushikesh Deshpande, Andrew Mitchell và Leland Garofalo của công ty hạ tầng web cho biết.
Công ty hạ tầng web cho biết họ không tìm thấy bằng chứng nào cho thấy lỗ hổng này từng bị khai thác trong bối cảnh độc hại.
ACME là một giao thức truyền thông (RFC 8555) tạo điều kiện cho việc cấp phát, gia hạn và thu hồi chứng chỉ SSL/TLS tự động. Mọi chứng chỉ được cấp cho một trang web bởi một certificate authority (CA) đều được xác thực bằng các thử thách để chứng minh quyền sở hữu domain.
Quá trình này thường được thực hiện bằng cách sử dụng một ACME client như Certbot để chứng minh quyền sở hữu domain thông qua thử thách HTTP-01 (hoặc DNS-01) và quản lý vòng đời của chứng chỉ. Thử thách HTTP-01 kiểm tra một validation token và key fingerprint nằm trong web server tại "https://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>" qua cổng HTTP 80.
Server của CA thực hiện một yêu cầu HTTP GET đến URL chính xác đó để truy xuất tệp. Khi quá trình xác minh thành công, chứng chỉ sẽ được cấp và CA đánh dấu tài khoản ACME (tức là thực thể đã đăng ký trên server của họ) là được ủy quyền để quản lý domain cụ thể đó.
Trong trường hợp thử thách được sử dụng bởi một yêu cầu chứng chỉ do Cloudflare quản lý, Cloudflare sẽ phản hồi trên đường dẫn đã nói trên và cung cấp token do CA cấp cho người gọi. Nhưng nếu nó không tương quan với một yêu cầu do Cloudflare quản lý, yêu cầu sẽ được định tuyến đến customer origin, vốn có thể đang sử dụng một hệ thống khác để xác thực domain.
Lỗ hổng này, được phát hiện và báo cáo bởi FearsOff vào tháng 10 năm 2025, liên quan đến việc triển khai lỗi của quy trình xác thực ACME, khiến một số yêu cầu thử thách đến URL làm vô hiệu hóa các quy tắc của web application firewall (WAF) và cho phép chúng tiếp cận origin server trong khi đáng lẽ phải bị chặn.
Nói cách khác, logic đã không thể xác minh liệu token trong yêu cầu có thực sự khớp với một thử thách đang hoạt động cho hostname cụ thể đó hay không, điều này cho phép kẻ tấn công gửi các yêu cầu tùy ý đến đường dẫn ACME và vượt qua hoàn toàn các biện pháp bảo vệ của WAF, cấp cho chúng khả năng tiếp cận origin server.
"Trước đây, khi Cloudflare cung cấp một HTTP-01 challenge token, nếu đường dẫn được yêu cầu bởi người gọi khớp với một token cho một thử thách đang hoạt động trong hệ thống của chúng tôi, logic cung cấp ACME challenge token sẽ vô hiệu hóa các tính năng của WAF, vì Cloudflare sẽ trực tiếp phục vụ phản hồi," công ty giải thích.
"Điều này được thực hiện vì các tính năng đó có thể gây cản trở khả năng của CA trong việc xác thực các giá trị token và sẽ gây ra lỗi với các yêu cầu và gia hạn chứng chỉ tự động. Tuy nhiên, trong trường hợp token được sử dụng liên quan đến một zone khác và không được Cloudflare trực tiếp quản lý, yêu cầu sẽ được phép tiếp tục đến customer origin mà không bị xử lý thêm bởi các quy tắc WAF."
Kirill Firsov, người sáng lập và CEO của FearsOff, cho biết lỗ hổng có thể bị exploit bởi một người dùng độc hại để lấy một token có giá trị xác định, tồn tại lâu dài và truy cập các tệp nhạy cảm trên origin server trên tất cả các host của Cloudflare, mở ra cánh cửa cho reconnaissance.
Cloudflare đã khắc phục lỗ hổng này vào ngày 27 tháng 10 năm 2025, bằng một thay đổi mã code, theo đó chỉ phục vụ phản hồi và vô hiệu hóa các tính năng WAF khi yêu cầu khớp với một ACME HTTP-01 challenge token hợp lệ cho hostname đó.
