חשיפה מטרידה שמגיעה מקהילת הסייבר העולמית מרעידה את האמון באחת מספקיות האבטחה הגדולות בעולם.
חוקרי אבטחה גילו פרצת יום-אפס (Zero-Day) קריטית ב-Web Application Firewall (WAF) של Cloudflare, שאפשרה לתוקפים לעקוף בקלילות את כל חומות ההגנה ולגשת ישירות לשרתי המקור (Origin Servers) של הלקוחות.
הפרצה, שנבעה מבאג לוגי במנגנון אימות תעודות ה-SSL, הותירה מיליוני אתרים חשופים לחלוטין.
הדלת האחורית שכולם פספסו: נתיב ה-ACME
הפרצה התחבאה במקום הכי פחות צפוי, בנתיב הסטנדרטי המשמש לאימות אוטומטי של תעודות אבטחה (SSL/TLS).
- המנגנון: פרוטוקול ACME משתמש בנתיב ידוע (/.well-known/acme-challenge/) כדי לוודא בעלות על דומיין.
- הכשל: כדי לאפשר לתהליך האימות לעבוד חלק, Cloudflare הגדירה את המערכות שלה כך שיפסיקו את פעולת ה-WAF עבור בקשות המגיעות לנתיב זה.
- העקיפה: החוקרים גילו שאם תוקף שולח בקשה לנתיב הזה (גם אם הטוקן לא תקין או לא קשור ל-Cloudflare), המערכת עדיין משביתה את ההגנות ומעבירה את הבקשה ישירות לשרת המקור, תוך עקיפת כל החסימות שהגדיר הלקוח.
הסכנה האמיתית: גישה חופשית לנתונים רגישים
המשמעות של הפרצה הזו הייתה דרמטית.
ברגע שה-WAF מנוטרל, התוקפים יכלו לבצע מניפולציות שונות על השרתים:
- שרתי Spring/Tomcat: גישה לנקודות קצה רגישות שאפשרו חשיפת סיסמאות למסדי נתונים, מפתחות API ומשתני סביבה.
- אפליקציות Next.js: דליפת מידע תפעולי פנימי שלא היה אמור להיות חשוף לרשת הציבורית.
- שרתי PHP: ניצול חולשות של הכללת קבצים מקומית (LFI) כדי לגשת לקבצי מערכת. במילים פשוטות: כל מי שהסתמך על Cloudflare שתחסום גישה לא רצויה, נשאר למעשה חשוף לגמרי בפני מי שידע לנצל את הנתיב הספציפי הזה.
סוף טוב הכל טוב? התיקון והלקחים
החוקרים מחברת FearsOff דיווחו על הפרצה ל-Cloudflare באוקטובר 2025, והחברה מיהרה לשחרר תיקון גורף ורק כעת החברה פירסמה את תהליך הפריצה לאחר התיקון. התיקון משנה את הלוגיקה כך שהגנות ה-WAF מוסרות רק אם הבקשה מכילה טוקן אימות חוקי ותואם. Cloudflare הצהירה כי לא נמצאו עדויות לניצול זדוני של הפרצה בזמן אמת, וכי הלקוחות מוגנים כעת באופן מלא ללא צורך בפעולה מצדם. המקרה משמש תזכורת כואבת לכך שגם ענקיות האבטחה אינן חסינות מטעויות קריטיות.
