أصدرت Cloudflare توضيحاً بشأن ثغرة أمنية اكتشفت في بيئة إدارة الشهادات التلقائية (ACME) الخاصة بها، والتي كانت تسمح بتجاوز الضوابط الأمنية والوصول إلى الخوادم الأصلية. وأكدت الشركة عدم وجود أدلة على استغلال الثغرة بشكل خبيث.
تم اكتشاف الثغرة من قبل الباحثين الأمنيين في FearsOff خلال شهر أكتوبر 2025، وتتعلق بالتنفيذ الدقيق لعملية التحقق من صحة ACME. ووفقاً لـ Cloudflare، فإن الثغرة ناتجة عن خلل في كيفية معالجة شبكة الحافة الخاصة بها للطلبات الموجهة إلى مسار تحدي HTTP-01 الخاص بـ ACME.
ثغرة ACME وتأثيرها على أمان الخادم
بروتوكول ACME هو آلية أساسية لإصدار وتجديد الشهادات الرقمية (SSL/TLS) بشكل تلقائي. يتم التحقق من ملكية النطاق قبل إصدار الشهادة عبر تحديات معينة، وأحد هذه التحديات هو HTTP-01.
يقوم هذا التحدي على التحقق من وجود رمز مميز (token) وبصمة مفتاح في خادم الويب على مسار محدد. يقوم خادم جهة إصدار الشهادات بإرسال طلب HTTP GET إلى هذا المسار لاسترداد الملف، وعند نجاح التحقق، يتم إصدار الشهادة.
من جهة أخرى، في حال كانت الطلبات المتعلقة بتحدي ACME مُدارة من قبل Cloudflare، فإن الشركة تقوم بالرد على هذا المسار وتقديم الرمز المطلوب. ولكن، إذا لم يكن الطلب مرتبطاً بطلب مُدار مباشرة من Cloudflare، فيتم توجيه هذا الطلب إلى الخادم الأصلي للعميل.
كيفية استغلال الثغرة
تكمن المشكلة في التنفيذ المعيب لعملية التحقق من صحة ACME، حيث كانت بعض طلبات التحقق الموجهة إلى المسار المحدد تتسبب في تعطيل قواعد جدار حماية تطبيقات الويب (WAF). وهذا ما يسمح للطلب بالوصول إلى الخادم الأصلي دون المرور بالكشف المطلوب.
بمعنى آخر، لم يكن المنطق قادراً على التأكد من تطابق الرمز المميز في الطلب مع تحدٍ نشط للنطاق المحدد. وهذا يمنح المهاجم القدرة على إرسال طلبات تعسفية إلى مسار ACME، متجاوزاً بذلك حماية WAF بالكامل، مما يمنحه وصولاً إلى الخادم الأصلي.
أوضحت Cloudflare أن تعطيل ميزات WAF كان يتم سابقاً عند تقديم رمز تحدي HTTP-01. وهذا هو الإجراء المعتاد لمنع هذه الميزات من التداخل مع قدرة جهة إصدار الشهادات على التحقق من الرموز، وضمان نجاح طلبات الشهادات التلقائية.
التصحيح والإجراءات المتخذة
أشار كيريل فيرسوف، مؤسس والرئيس التنفيذي لـ FearsOff، إلى أن هذه الثغرة الأمنية كان يمكن استغلالها من قبل مستخدم خبيث للحصول على رمز ثابت طويل الأمد والوصول إلى ملفات حساسة على الخادم الأصلي عبر جميع مضيفات Cloudflare، مما يفتح الباب للاستطلاع والاستكشاف.
ويُذكر أن Cloudflare قامت بمعالجة الثغرة في 27 أكتوبر 2025، من خلال تغيير في الكود البرمجي. وهذا التغيير يضمن تقديم الاستجابة وتعطيل ميزات WAF فقط عندما يتطابق الطلب مع رمز تحدي ACME HTTP-01 صالح للنطاق المعني.
يهدف هذا التحديث إلى تعزيز أمن البنية التحتية السحابية وحماية خوادم العملاء من أي تهديدات محتملة، خاصة فيما يتعلق بعمليات إصدار واستمرارية الشهادات الرقمية. وتؤكد الشركة التزامها المستمر بتقديم خدمات آمنة وموثوقة لمستخدميها.