Threats
Uma vulnerabilidade zero day na Cloudflare permitiu acesso direto a servidores de origem, contornando regras do WAF. A falha afetou o processo de validação de certificados ACME e já foi corrigida.
21/01/2026
|
Uma vulnerabilidade crítica zero day na Web Application Firewall (WAF) da Cloudflare permitiu que atacantes contornassem mecanismos de proteção e acedessem diretamente a servidores de origem protegidos. A falha foi identificada por investigadores da FearsOff e divulgada pela Cyber Security News. Segundo a investigação, os pedidos direcionados ao caminho /.well-known/acme-challenge/ conseguiam atingir os servidores de origem mesmo quando as regras do WAF dos clientes estavam configuradas para bloquear todo o restante tráfego. Este comportamento está relacionado com o protocolo Automatic Certificate Management Environment (ACME), utilizado para automatizar a validação de certificados SSL/TLS. No método de validação HTTP-01, as Certificate Authorities (CAs) verificam a posse de um domínio através da disponibilização temporária de um token específico nesse caminho. Embora este acesso deva estar limitado a um processo controlado de validação, os investigadores descobriram que a lógica de processamento da Cloudflare desativava as funcionalidades de segurança do WAF de forma mais ampla do que o previsto. Durante os testes, a FearsOff confirmou que pedidos legítimos eram bloqueados conforme esperado, mas que pedidos para o caminho ACME retornavam respostas diretas do servidor de origem, como erros 404 gerados pelas próprias aplicações. O problema residia no facto de que, quando o token solicitado não correspondia a um pedido de certificado gerido pela Cloudflare, o tráfego seguia diretamente para o servidor de origem sem qualquer avaliação do WAF. Esta falha permitiu demonstrar vários vetores de ataque em aplicações comuns. A vulnerabilidade foi reportada à Cloudflare através do programa de bug bounty na plataforma HackerOne em outubro de 2025. A empresa iniciou a validação poucos dias depois e implementou uma correção permanente. A atualização ajustou a lógica de segurança para garantir que a desativação de controlos ocorre apenas quando os pedidos correspondem a tokens ACME válidos para o hostname específico. A Cloudflare afirmou que não é necessária qualquer ação por parte dos clientes e indicou não ter identificado evidências de exploração maliciosa da vulnerabilidade em ambientes reais. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
