Automatyczne zarządzanie certyfikatami SSL/TLS stanowi dziś podstawę bezpiecznej komunikacji w Internecie. Kiedy więc specjaliści od cyberbezpieczeństwa z FearsOff odkryli poważną wadę w implementacji tego mechanizmu przez Cloudflare, świat IT zadrżał – na szczęście problem został już załatany.

Autor: 4 min czytania

Co to jest ACME i dlaczego ma znaczenie?

ACME (Automatic Certificate Management Environment) to protokół umożliwiający automatyczne wydawanie i odnawianie certyfikatów SSL/TLS, używany m.in. przez Let’s Encrypt. W ramach tzw. HTTP-01 challenge serwer udowadnia swoją autentyczność poprzez umieszczenie specjalnego tokenu pod adresem:

 /.well-known/acme-challenge/{token}

Serwer certyfikujący – Certificate Authority – odwiedza ten adres i weryfikuje poprawność tokenu, co pozwala na wydanie certyfikatu.

Cloudflare, jako pośrednik i dostawca WAF (Web Application Firewall), przejmował tę ścieżkę i serwował odpowiedź w imieniu klienta. Takie podejście ma umożliwić bezproblemową walidację certyfikatów bez ingerowania przez reguły zapory.

Gdzie pojawił się problem?

Błąd polegał na tym, że Cloudflare wyłączał ochronę WAF dla każdego żądania do ścieżki ACME, nawet jeśli token w żądaniu nie był ważny lub nie dotyczył domeny zarządzanej przez Cloudflare. W praktyce oznaczało to, że atakujący mógł wysyłać dowolne żądania do /.well-known/acme-challenge/*, a zapora nie analizowała ich zgodnie z zasadami bezpieczeństwa. Zamiast tego przekazywała je bezpośrednio do serwera źródłowego (origin server).

W normalnych okolicznościach taka ścieżka powinna być dostępna wyłącznie dla uprawnionego CA i tylko w ramach jednorazowej weryfikacji. Nieprawidłowe wyłączenie zasad WAF otworzyło furtkę, dzięki której nawet przy rygorystycznych regułach blokowania ruchu możliwe było przejście obok ochrony i dotarcie do zasobów backendu, które w innym wypadku byłyby chronione.

Potencjalne ryzyko

Eksperci z FearsOff wskazali, że błąd mógł:

  • umożliwić omijanie reguł zapory i dostęp do serwera bez autoryzacji,
  • narazić na ekspozycję wrażliwe dane lub pliki konfiguracyjne,
  • ułatwić działania rozpoznawcze i przygotowanie dalszych ataków.

Choć nie ma dowodów na to, że luka została wykorzystana w praktyce, jej istnienie było poważnym problemem z punktu widzenia bezpieczeństwa infrastruktury sieciowej.

Jak to naprawiono?

Cloudflare załatał błąd 27 października 2025 r. poprzez zmianę logiki walidacji ACME. Obecnie wyłączenie ochrony WAF następuje jedynie wtedy, gdy żądanie odpowiada ważnemu tokenowi ACME dla konkretnej domeny, czyli dopiero, gdy Cloudflare ma poprawny token i może zwrócić odpowiedź CA. Wszystkie inne żądania są poddawane standardowej analizie firewall.

Cloudflare podkreślił, że klienci nie muszą podejmować żadnych działań – poprawka została wdrożona automatycznie, a ryzyko związane z błędem – zminimalizowane.

Podsumowanie

Błąd w obsłudze protokołu ACME w Cloudflare ujawnił, jak nawet niewielkie niedopatrzenie w logice walidacji może osłabić warstwę ochronną WAF. Dzięki szybkiej reakcji społeczności bezpieczeństwa i odpowiedzialnemu ujawnieniu luka została naprawiona zanim doszło do jej masowego wykorzystania. To ważna lekcja dla administratorów i dostawców usług – bezpieczeństwo protokołów automatyzujących certyfikaty jest równie istotne jak sam firewall.