Cloudflare corrige fallo ACME que permitía eludir el WAF

Cloudflare ha solucionado una vulnerabilidad de seguridad significativa que afectaba a su lógica de validación del protocolo Automatic Certificate Management Environment (ACME), un fallo que podía permitir a un atacante eludir los controles del Web Application Firewall (WAF) y alcanzar directamente los servidores de origen protegidos por la plataforma. Aunque la compañía afirma no haber encontrado evidencias de explotación activa, el impacto potencial del problema ha generado preocupación dentro de la comunidad de ciberseguridad.

La vulnerabilidad residía específicamente en la forma en que la red edge de Cloudflare procesaba las solicitudes dirigidas a la ruta de desafío ACME HTTP-01 (/.well-known/acme-challenge/*). Así lo explicaron Hrushikesh Deshpande, Andrew Mitchell y Leland Garofalo, investigadores de la propia compañía, en un análisis técnico publicado tras la corrección del fallo.

¿Qué es ACME y por qué es crítico para la seguridad web?

ACME es un protocolo de comunicaciones estandarizado en la RFC 8555, diseñado para automatizar la emisión, renovación y revocación de certificados SSL/TLS. Gracias a ACME, las autoridades certificadoras (CA) pueden validar de forma automática que un solicitante es el legítimo propietario de un dominio antes de emitir un certificado digital.

Este proceso se lleva a cabo mediante desafíos de validación, siendo los más comunes el HTTP-01 y el DNS-01. En el caso del desafío HTTP-01, la CA solicita un recurso específico ubicado en el servidor web del dominio objetivo, normalmente accesible en una URL como:

https://<DOMINIO>/.well-known/acme-challenge/<TOKEN>

Si el servidor responde correctamente con el token esperado, la CA considera que el solicitante controla el dominio y procede a emitir el certificado.

El papel de Cloudflare en la validación ACME

Cuando un dominio utiliza certificados gestionados por Cloudflare, la plataforma actúa como intermediario en el proceso de validación ACME. En estos casos, Cloudflare responde directamente a las solicitudes de desafío HTTP-01, devolviendo el token proporcionado por la CA sin necesidad de reenviar la petición al servidor de origen.

Sin embargo, si la solicitud no coincide con una orden de certificado gestionada por Cloudflare, la petición puede ser redirigida al servidor de origen del cliente, que podría estar utilizando un cliente ACME distinto, como Certbot, para gestionar sus certificados.

Es precisamente en este flujo donde se introdujo la vulnerabilidad.

Origen de la vulnerabilidad: una validación lógica defectuosa

El fallo fue descubierto y reportado en octubre de 2025 por la empresa de seguridad FearsOff. Según el análisis, la implementación de Cloudflare no verificaba correctamente si el token solicitado pertenecía a un desafío ACME activo para ese nombre de host específico.

Como resultado, ciertas solicitudes a la ruta /.well-known/acme-challenge/ provocaban que Cloudflare desactivara automáticamente las protecciones del WAF, incluso cuando el token no estaba asociado a un desafío válido gestionado por la plataforma.

En términos prácticos, esto significaba que un atacante podía enviar solicitudes arbitrarias a esa ruta, eludir por completo las reglas del firewall de aplicaciones web y alcanzar directamente el servidor de origen, algo que debería haber sido bloqueado en condiciones normales.

Riesgos de explotación y posibles escenarios de ataque

Kirill Firsov, fundador y CEO de FearsOff, advirtió que esta vulnerabilidad podía ser utilizada para obtener tokens deterministas y de larga duración, lo que abriría la puerta a múltiples vectores de ataque. Entre los escenarios más preocupantes se encuentran:

• Bypass completo del WAF de Cloudflare
• Acceso no autorizado a recursos del servidor de origen
• Enumeración y reconocimiento de archivos sensibles
• Mapeo de la infraestructura backend protegida por Cloudflare

Aunque Cloudflare no ha encontrado indicios de explotación maliciosa, el fallo representaba un riesgo estructural importante, especialmente en entornos donde el servidor de origen no estaba diseñado para recibir tráfico directo no filtrado.

Medidas correctivas implementadas por Cloudflare

Cloudflare corrigió la vulnerabilidad el 27 de octubre de 2025, introduciendo un cambio clave en la lógica de validación ACME. A partir de esa fecha, la plataforma solo desactiva las funciones del WAF cuando la solicitud coincide exactamente con un token de desafío ACME HTTP-01 válido y activo para ese nombre de host concreto.

Esto garantiza que las protecciones de seguridad permanezcan activas en todos los demás casos, evitando que solicitudes maliciosas utilicen la ruta ACME como un canal de evasión.

Lecciones de seguridad y buenas prácticas

Este incidente pone de relieve varios aspectos críticos en la seguridad de infraestructuras modernas:

• Las vulnerabilidades de lógica son tan peligrosas como las técnicas, ya que pueden socavar controles de seguridad robustos sin necesidad de exploits complejos.
• Los mecanismos de automatización, como ACME, deben diseñarse con validaciones estrictas para evitar abusos.
• El WAF no debe desactivarse sin comprobaciones exhaustivas, incluso en flujos considerados "de confianza".

Para organizaciones que utilizan Cloudflare u otros proveedores de infraestructura web, este caso subraya la importancia de defensa en profundidad, monitoreo continuo y auditorías periódicas de configuraciones críticas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login