Cloudflare corrige una vulnerabilidad crítica que permitía saltar el WAF y acceder a servidores de origen
Cloudflare, el gigante de la infraestructura web, ha anunciado la resolución de un fallo de seguridad crítico en su lógica de validación de certificados ACME. La vulnerabilidad, identificada por investigadores de la firma FearsOff, permitía a atacantes potenciales eludir las protecciones del Firewall de Aplicaciones Web (WAF) para acceder directamente a los servidores de origen de los clientes.
El origen del fallo: El protocolo ACME
El problema radicaba en cómo la red perimetral de Cloudflare gestionaba las solicitudes dirigidas a la ruta de validación HTTP-01 del protocolo ACME (Automatic Certificate Management Environment). Esta ruta, ubicada bajo el directorio /.well-known/acme-challenge/, es utilizada por las autoridades de certificación para verificar automáticamente la propiedad de un dominio mediante el intercambio de "tokens".
Para garantizar que el proceso de renovación de certificados no se viera interrumpido, Cloudflare tenía configurada una regla interna que desactivaba automáticamente las funciones de seguridad del WAF cuando detectaba tráfico en esa ruta específica.
El mecanismo del bypass
Según el reporte técnico, el error de lógica consistía en que el sistema de Cloudflare no validaba si el token solicitado correspondía realmente a un desafío de certificación activo y legítimo para ese nombre de host.
Esto abría una ventana peligrosa: un atacante podía enviar peticiones arbitrarias a través de la ruta de ACME y, al estar el WAF desactivado para dicha ruta, la solicitud era enviada directamente al servidor de origen del cliente. De esta manera, cualquier regla de bloqueo o filtrado configurada por el usuario era ignorada por completo.
Impacto y resolución
Los investigadores de FearsOff, liderados por Kirill Firsov, demostraron que este fallo podía ser explotado para realizar reconocimiento de red y acceder a archivos sensibles en los servidores de origen que, bajo condiciones normales, estarían protegidos por las reglas del WAF.
Detalles clave de la mitigación:
Fecha de la corrección: El parche definitivo fue desplegado el 27 de octubre de 2025, tras ser reportado inicialmente a través del programa de bug bounty.
Estado actual: Cloudflare ha confirmado que la lógica ahora verifica rigurosamente que el token coincida con un desafío activo antes de permitir el bypass del WAF.
Sin evidencia de explotación: La compañía aseguró que, tras una auditoría interna, no han encontrado indicios de que esta vulnerabilidad haya sido utilizada de forma maliciosa antes de su corrección.
Recomendaciones
Cloudflare informó que no es necesaria ninguna acción por parte de los clientes, ya que la actualización se aplicó de forma automática en toda su red global. Sin embargo, este incidente sirve como un recordatorio para los administradores de sistemas sobre la importancia de monitorear incluso las rutas de mantenimiento automatizadas, que a menudo se convierten en vectores de ataque imprevistos.