Cloudflare, SSL/TLS sertifikalarının otomatik yönetiminde kullanılan ACME protokolündeki bir doğrulama mantığı hatasını düzeltti. Bu zafiyet, HTTP-01 zorlama yolu (/.well-known/acme-challenge/*) için yönlendirilen isteklerde, web uygulama güvenlik duvarı (WAF) kurallarının devre dışı kalmasına ve saldırganların orijin sunucuya doğrudan erişmesine olanak sağlıyordu.
Saldırı Zinciri ve Teknik Detaylar
ACME protokolü, sertifika otoritelerinin (CA) alan adı sahipliğini doğrulamak için kullandığı standart bir yöntemdir. HTTP-01 zorluğunda, CA sunucusu doğrulama belirtecini içeren özel bir URL’ye HTTP GET isteği yapar. Cloudflare, kendi yönettiği sertifika siparişlerinde bu belirteci doğrudan yanıtlar ve WAF kurallarını geçici olarak devre dışı bırakır. Ancak, hatalı mantık nedeniyle, belirteç farklı bir alan adına ait olsa bile istek orijin sunucuya yönlendirilip WAF atlatılabiliyordu.
Bu durum, saldırganların uzun ömürlü bir belirteç elde ederek tüm Cloudflare sunucularında orijin sunucudaki hassas dosyalara erişmesine ve keşif faaliyetleri yapmasına olanak tanıyordu. Güvenlik açığı, FearsOff adlı güvenlik araştırma şirketi tarafından Ekim 2025’te keşfedildi ve bildirildi.
Cloudflare’ın Müdahalesi ve Teknik Çözüm
Cloudflare, 27 Ekim 2025 tarihinde yaptığı kod değişikliğiyle, yanıtın yalnızca isteğin o ana bilgisayar adı için geçerli bir ACME HTTP-01 zorluk belirteciyle eşleştiği durumlarda verilmesini sağladı. Böylece, WAF özellikleri yalnızca doğrulanmış isteklerde devre dışı bırakılıyor ve orijin sunucuya yetkisiz erişim engelleniyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- ACME istemcileri ve otomatik sertifika yenileme süreçlerini düzenli olarak izleyin ve loglayın.
- WAF ve firewall kurallarını, ACME doğrulama yolları için özel olarak yapılandırarak anormal erişimleri tespit edin.
- Orijin sunucu erişimlerini segmentlere ayırarak, yetkisiz erişim riskini azaltın.
- EDR çözümleri ile sunucu üzerindeki anormal dosya erişimlerini ve süreçleri takip edin.
- SIEM sistemlerinde ACME doğrulama isteklerine yönelik özel uyarılar oluşturun.
- Zero Trust mimarisi kapsamında, sertifika yönetim süreçlerine erişimi sıkı kontrol altına alın.
- Olay müdahale planlarında ACME doğrulama zafiyetlerine karşı senaryolar hazırlayın.
- Güvenlik yamalarını ve güncellemeleri zamanında uygulayın.
Kurumsal Senaryo: Bulut Hizmet Sağlayıcıları
Bir bulut barındırma firması, müşterilerinin alan adları için otomatik sertifika yönetimi sağlıyor. Bu zafiyet nedeniyle, saldırganlar WAF korumasını aşarak orijin sunucuya doğrudan erişim elde edebilir ve hassas müşteri verilerine ulaşabilir. Bu durum, hem müşteri gizliliğini hem de hizmet sürekliliğini tehdit eder. Bu nedenle, bulut güvenliği kapsamında ACME doğrulama süreçlerinin izlenmesi ve sıkılaştırılması kritik önem taşır.
Teknik Özet
- Zafiyet Türü: ACME HTTP-01 doğrulama mantık hatası (CVE henüz verilmedi)
- Hedef Sistemler: Cloudflare tarafından yönetilen sertifika siparişleri ve orijin sunucular
- Saldırı Adımları: HTTP-01 zorluk belirteci doğrulama bypass → WAF atlatma → Orijin sunucu erişimi
- Önerilen Önlemler: Kod güncellemesi, WAF kuralı sıkılaştırması, loglama ve izleme
Bu olay, bulut güvenliği ve otomatik sertifika yönetimi süreçlerinde doğrulama mekanizmalarının kritik önemini bir kez daha ortaya koydu. Siber güvenlik ekiplerinin, özellikle ACME protokolü gibi otomasyon süreçlerinde ortaya çıkabilecek mantık hatalarına karşı dikkatli olması gerekiyor.