Cloudflare, güvenlik kontrollerini atlatmayı ve kaynak sunuculara erişmeyi mümkün kılan, Otomatik Sertifika Yönetim Ortamı ( ACME ) doğrulama
mantığını etkileyen bir güvenlik açığını giderdi .
Web altyapı şirketinden Hrushikesh Deshpande, Andrew Mitchell ve Leland Garofalo, "Güvenlik açığı, uç ağımızın ACME HTTP-01 doğrulama yoluna (/.well-known/acme-challenge/*) yönelik istekleri işleme biçiminden kaynaklanıyordu" dedi.
Web altyapı şirketi, söz konusu güvenlik açığının kötü niyetli bir bağlamda kullanıldığına dair hiçbir kanıt bulamadığını belirtti.
ACME, SSL/TLS sertifikalarının otomatik olarak verilmesini, yenilenmesini ve iptal edilmesini kolaylaştıran bir iletişim protokolüdür ( RFC 8555 ). Bir sertifika otoritesi (CA) tarafından bir web sitesine sağlanan her sertifika, alan adı sahipliğini kanıtlamak için doğrulama yöntemleri kullanılarak doğrulanır.
Bu işlem genellikle, HTTP-01 (veya DNS-01) doğrulama yöntemiyle alan adı sahipliğini kanıtlayan ve sertifika yaşam döngüsünü yöneten Certbot gibi bir ACME istemcisi kullanılarak gerçekleştirilir . HTTP-01 doğrulama yöntemi, HTTP 80 portu üzerinden "https://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN>" adresindeki web sunucusunda bulunan bir doğrulama belirteci ve anahtar parmak izini kontrol eder.
CA sunucusu, dosyayı almak için tam olarak o URL'ye bir HTTP GET isteği gönderir. Doğrulama başarılı olduktan sonra, sertifika verilir ve CA, ACME hesabını (yani sunucusunda kayıtlı kuruluşu) o belirli etki alanını yönetmeye yetkili olarak işaretler.
Eğer doğrulama isteği Cloudflare tarafından yönetilen bir sertifika siparişi tarafından kullanılıyorsa, Cloudflare yukarıda belirtilen yoldan yanıt verecek ve CA tarafından sağlanan belirteci arayana iletecektir. Ancak Cloudflare tarafından yönetilen bir siparişle ilişkili değilse, istek, alan adı doğrulaması için farklı bir sistem kullanıyor olabilecek müşteri kaynağına yönlendirilir.
FearsOff tarafından Ekim 2025'te keşfedilen ve bildirilen güvenlik açığı, ACME doğrulama sürecinin hatalı bir şekilde uygulanmasından kaynaklanmaktadır. Bu hata, URL'ye yapılan bazı doğrulama isteklerinin web uygulama güvenlik duvarı (WAF) kurallarını devre dışı bırakmasına ve ideal olarak engellenmesi gereken isteklere erişim izni vermesine neden olmaktadır.
Başka bir deyişle, mantık, istekteki belirtecin söz konusu ana bilgisayar adı için aktif bir doğrulama ile gerçekten eşleşip eşleşmediğini doğrulamada başarısız oldu; bu da bir saldırganın ACME yoluna rastgele istekler göndermesine ve WAF korumalarını tamamen atlatmasına, böylece kaynak sunucuya ulaşma yeteneğine sahip olmasına olanak sağladı.
Şirket, "Daha önce Cloudflare bir HTTP-01 doğrulama belirteci sunarken, arayan tarafından istenen yol sistemimizdeki aktif bir doğrulama belirteciyle eşleşirse, ACME doğrulama belirteci sunan mantık, Cloudflare yanıtı doğrudan sunduğu için WAF özelliklerini devre dışı bırakıyordu" şeklinde açıklama yaptı.
"Bu işlem, söz konusu özelliklerin CA'nın token değerlerini doğrulama yeteneğine müdahale edebilmesi ve otomatik sertifika siparişleri ve yenilemelerinde hatalara neden olabilmesi nedeniyle yapılmaktadır. Bununla birlikte, kullanılan token farklı bir bölgeyle ilişkiliyse ve doğrudan Cloudflare tarafından yönetilmiyorsa, istek WAF kuralları tarafından daha fazla işleme tabi tutulmadan müşteri kaynağına iletilmesine izin verilir."
FearsOff'un kurucusu ve CEO'su Kirill Firsov, bu güvenlik açığının kötü niyetli bir kullanıcı tarafından istismar edilerek, uzun süreli ve kesin bir belirteç elde edilebileceğini ve Cloudflare sunucularının tamamında kaynak sunucudaki hassas dosyalara erişim sağlanabileceğini, bunun da keşif faaliyetlerine olanak tanıyacağını söyledi.
Cloudflare, 27 Ekim 2025'te, yanıtı yalnızca istek ilgili ana bilgisayar adı için geçerli bir ACME HTTP-01 doğrulama belirteciyle eşleştiğinde sunan ve WAF özelliklerini devre dışı bırakan bir kod değişikliğiyle bu güvenlik açığını giderdi.
