Teknik Baru untuk Membobol Firewall dan Perlindungan DDoS Cloudflare

News Security Article

Dari beberapa situs keamanan siber, dilansir sebuah berita bahwa terdapat celah keamanan yang bisa di eksploitasi dari layanan Cloudflare.

Cloudflare adalah layanan yang menawarkan perlindungan terhadap serangan firewall dan distributed denial-of-service (DDoS) untuk situs web. Namun, sebuah penelitian baru menunjukkan bahwa mekanisme perlindungan tersebut dapat dielakkan dengan memanfaatkan celah di kontrol keamanan lintas-tenant, sehingga mengalahkan tujuan dari fitur-fitur tersebut.

Penelitian ini dilakukan oleh Stefan Proksch dari Certitude, sebuah perusahaan konsultan keamanan asal Austria, dan dipublikasikan pada minggu lalu. Proksch menemukan dua masalah utama yang memungkinkan penyerang untuk mengirimkan muatan jahat melalui infrastruktur Cloudflare dengan mengabaikan fitur-fitur perlindungan yang dikonfigurasikan oleh korban.

Masalah pertama berkaitan dengan penggunaan sertifikat Cloudflare bersama untuk mengotentikasi permintaan HTTP (S) antara proxy terbalik Cloudflare dan server asal pelanggan sebagai bagian dari fitur yang disebut Authenticated Origin Pulls. Fitur ini memastikan bahwa permintaan yang dikirim ke server asal untuk mengambil konten ketika tidak tersedia di cache berasal dari Cloudflare dan bukan dari penyerang.

Namun, akibat dari pengaturan ini adalah bahwa penyerang dengan akun Cloudflare dapat mengirimkan muatan jahat mereka melalui platform dengan memanfaatkan kenyataan bahwa semua koneksi yang berasal dari Cloudflare diizinkan, bahkan jika tenant yang memulai koneksi adalah jahat.

“Seorang penyerang dapat membuat domain khusus dengan Cloudflare dan mengarahkan rekaman DNS A ke alamat IP korban,” Proksch menjelaskan. “Penyerang kemudian menonaktifkan semua fitur perlindungan untuk domain khusus tersebut di tenant mereka dan menyalurkan serangan mereka melalui infrastruktur Cloudflare. Pendekatan ini memungkinkan penyerang untuk mengelakkan fitur perlindungan oleh korban.”

Masalah kedua melibatkan penyalahgunaan daftar izin alamat IP Cloudflare – yang menghentikan server asal dari menerima lalu lintas dari alamat IP pengunjung individu dan membatasinya pada alamat IP Cloudflare – untuk mentransmisikan input nakal dan menargetkan pengguna lain di platform.

Setelah pemberitahuan tanggung jawab pada 16 Maret 2023, Cloudflare mengakui temuan tersebut sebagai informatif, dan menambahkan peringatan baru di dokumentasinya. “Perhatikan bahwa sertifikat Cloudflare yang kami berikan untuk Anda agar dapat mengatur Authenticated Origin Pulls bukanlah eksklusif untuk akun Anda, hanya menjamin bahwa permintaan berasal dari jaringan Cloudflare,” Cloudflare sekarang secara eksplisit menyatakan. “Untuk keamanan yang lebih ketat, Anda harus mengatur Authenticated Origin Pulls dengan sertifikat Anda sendiri dan mempertimbangkan langkah-langkah keamanan lainnya untuk server asal Anda.”

“Mekanisme ‘Daftar Izin Alamat IP Cloudflare’ harus dianggap sebagai pertahanan-dalam-kedalaman, dan bukan menjadi mekanisme tunggal untuk melindungi server asal,” Proksch berkata.

Nah apa yang bisa kita lakukan untuk membentengi dari mekanisme ekplotasi bypass cloudflare tersebut ? 

Untuk melindungi server asal dari serangan Cloudflare bypass, ada beberapa langkah yang dapat dilakukan, antara lain:

  1. Menggunakan sertifikat sendiri untuk mengatur Authenticated Origin Pulls, bukan sertifikat Cloudflare bersama. Ini akan memastikan bahwa hanya permintaan yang memiliki sertifikat yang cocok yang dapat mengakses server asal. Cara ini dapat meningkatkan keamanan dan menghindari penyalahgunaan sertifikat Cloudflare bersama oleh penyerang.
  2. Menggunakan fitur firewall Cloudflare untuk membuat aturan yang memblokir atau menantang permintaan yang mencurigakan atau berasal dari negara tertentu. Ini akan membantu mengurangi lalu lintas yang tidak diinginkan dan mencegah penyerang mengirimkan muatan jahat melalui Cloudflare.
  3. Menggunakan fitur mode Under Attack atau Bot Fight Mode Cloudflare untuk melindungi website dari serangan DDoS atau bot. Mode Under Attack akan menampilkan halaman interstisial yang memeriksa apakah pengunjung adalah manusia atau bot sebelum mengizinkan mereka mengakses website. Bot Fight Mode akan menganalisis perilaku permintaan dan menolak permintaan yang dianggap sebagai bot.
  4. Menggunakan fitur DDoS Block Cloudflare untuk memblokir serangan DDoS pada lapisan jaringan. Fitur ini akan secara otomatis mendeteksi dan menangkal serangan DDoS dengan menggunakan teknologi anycast dan algoritma adaptif.

 

Selain itu, ada juga beberapa cara lain yang dapat dilakukan di sisi server asal, seperti:

  1. Membuat kombinasi password yang rumit dan unik untuk akun-akun penting. Ini akan mempersulit penyerang untuk menebak password dengan menggunakan metode brute force2.
  2. Mengatur limit login untuk mencegah percobaan login berulang-ulang dari alamat IP yang sama. Ini akan mengurangi kemungkinan penyerang untuk menerobos masuk ke akun dengan menggunakan metode brute force2.
  3. Menggunakan captcha untuk memverifikasi apakah pengunjung adalah manusia atau bot. Ini akan membantu mencegah serangan otomatis yang dilakukan oleh bot2.
  4. Manfaatkan two factor authentication untuk menambahkan lapisan keamanan ekstra saat login. Ini akan membutuhkan pengguna untuk memasukkan kode verifikasi selain password saat login

Salam Keamanan Siber