Cloudflare corrige falha no ACME que permitia bypass do WAF e acesso direto aos servidores de origem

A Cloudflare anunciou a correção de uma vulnerabilidade de segurança em sua lógica de validação do ACME, falha que poderia permitir a evasão de controles de segurança e o acesso direto aos servidores de origem (origin servers), contornando proteções críticas como o WAF.

Segundo a empresa, o problema estava relacionado à forma como sua rede de borda (edge network) processava requisições destinadas ao caminho do desafio ACME HTTP-01 (/.well-known/acme-challenge/*). Apesar da gravidade do cenário, a Cloudflare afirmou não ter encontrado evidências de exploração maliciosa da falha em ambiente real.

O ACME (Automatic Certificate Management Environment) é um protocolo padronizado (RFC 8555) amplamente utilizado para automatizar a emissão, renovação e revogação de certificados SSL/TLS. Na prática, toda autoridade certificadora (CA) precisa validar que o solicitante realmente controla um domínio antes de emitir um certificado digital.

Esse processo normalmente é realizado por meio de clientes ACME, como o Certbot, que utilizam desafios do tipo HTTP-01 ou DNS-01 para comprovar a posse do domínio. No caso do HTTP-01, a CA faz uma requisição HTTP GET para um endereço específico no domínio, esperando encontrar um token de validação fornecido previamente.

Quando o pedido de certificado é gerenciado pela Cloudflare, a própria plataforma responde à requisição no caminho do desafio ACME, fornecendo o token correto. No entanto, se a solicitação não estiver associada a um pedido gerenciado pela Cloudflare, a requisição é encaminhada ao servidor de origem do cliente, que pode usar outro mecanismo de validação.

A vulnerabilidade, descoberta e reportada pela empresa FearsOff em outubro de 2025, estava justamente nessa lógica. Em determinados cenários, requisições para o caminho do ACME faziam com que as regras do Web Application Firewall (WAF) fossem desativadas, permitindo que o tráfego chegasse ao servidor de origem quando deveria ter sido bloqueado.

Na prática, a validação falhava ao verificar se o token presente na requisição correspondia de fato a um desafio ACME ativo para aquele hostname específico. Isso abria espaço para que um invasor enviasse requisições arbitrárias ao endpoint do ACME e contornasse completamente as proteções do WAF, alcançando diretamente o ambiente de origem.

Antes da correção, sempre que a Cloudflare identificava uma requisição aparentemente válida para um token de desafio HTTP-01, os mecanismos de WAF eram automaticamente desativados. Essa decisão técnica existe para evitar que regras de segurança interfiram na validação feita pelas autoridades certificadoras, o que poderia causar falhas na emissão ou renovação automática de certificados. O problema surgia quando o token era válido para outra zona ou domínio não gerenciado diretamente, mas ainda assim fazia o tráfego passar sem inspeção.

De acordo com Kirill Firsov, fundador e CEO da FearsOff, essa falha poderia permitir que um usuário malicioso obtivesse um token previsível e de longa duração, possibilitando acesso a arquivos sensíveis no servidor de origem e facilitando atividades de reconhecimento (reconnaissance) em ambientes protegidos pela Cloudflare.

A correção foi aplicada em 27 de outubro de 2025. A partir dessa atualização, a Cloudflare passou a servir respostas e desativar o WAF apenas quando a requisição corresponde exatamente a um desafio ACME HTTP-01 válido e ativo para aquele hostname específico, eliminando o vetor de bypass.