Um hacker ético dinamarquês conseguiu entrar sem ser convidado em um beta fechado da Cloudflare e encontrou uma vulnerabilidade que poderia ter sido explorada por um cibercriminoso para sequestrar e roubar o e-mail de outra pessoa.
Aluno Albert Pedersen relatou a vulnerabilidade crítica à Cloudflare por meio do programa de recompensas de bugs da empresa e recebeu US$ 3.000. Ele disse em um artigo na quarta-feira que alertou a gigante da internet logo após identificar a vulnerabilidade em 7 de dezembro. De acordo com uma linha do tempo do HackerOne, que gerencia o programa de recompensas, a Cloudflare corrigiu a falha em poucos dias. No entanto, foi somente em 28 de julho que a vulnerabilidade foi divulgada publicamente, permitindo que Pedersen publicasse sua postagem no blog este mês.
Cloudflare, que realiza principalmente tarefas de distribuição de conteúdo e fornece proteção de segurança para sites , anunciou seu serviço de roteamento de e-mail em setembro de 2021, disponibilizando-o inicialmente como um programa beta privado. O serviço, que em fevereiro entrou em beta aberto, permite que os clientes criem e gerenciem endereços de e-mail personalizados para seus domínios e façam com que redirecionem seus e-mails para endereços específicos.
O primeiro desafio de Pedersen foi entrar este beta privado.
“O Cloudflare Email Routing estava em beta fechado quando descobri essa vulnerabilidade, com apenas alguns domínios tendo acesso concedido”, escreveu Pedersen. “Infelizmente, eu não fui convidado para a festa, então eu simplesmente teria que travar.”
Ele entrou no programa manipulando os dados enviados dos servidores back-end da Cloudflare para o painel da Cloudflare aberto em seu navegador. Ele escreveu que usou o pacote Burp rodando em seu computador “para interceptar a resposta e substituir ‘beta’: false por ‘beta’: true, o que fez o painel pensar que eu tinha acesso ao beta.”
Depois de entrar, ele configurou o roteamento de e-mail para um de seus domínios para que o e-mail para um endereço personalizado nesse domínio – digamos, albert@example.com – fosse roteado para seu endereço pessoal do Gmail.
Neste momento, seu domínio estava listado em sua conta principal da Cloudflare, verificado e tinha o roteamento de e-mail configurado e funcionando. Por verificado, queremos dizer que os registros DNS do domínio estão configurados de tal forma que o gigante da Internet está convencido de que ele possuía, ou pelo menos gerenciava, o domínio. A verificação é importante porque, sem ela, você não poderá habilitar recursos para o domínio, pois pode não ter autoridade para gerenciar o domínio.
Ele então se perguntou o que aconteceria se adicionasse seu domínio para sua conta secundária da Cloudflare, onde o domínio não foi verificado. Certamente, não deveria ser possível configurar o roteamento de e-mail para ele e redirecionar o e-mail enviado para esse domínio? Certamente, ele poderia.
“Eu assumi que a API Cloudflare faria uma verificação no lado do servidor e geraria um erro me dizendo para verificar a zona, ou minha configuração não autorizada simplesmente não teria efeito,” ele disse em uma entrevista por e-mail. Mas não gerou um erro e entrou em vigor.
“O último é como funciona agora”, acrescentou. “Você pode configurar o roteamento de e-mail em uma zona não verificada, mas a configuração não terá efeito até que você verifique a propriedade do domínio.”
Com o domínio não verificado adicionado à sua conta secundária, Pedersen trocou no roteamento de e-mail para ele e configurou o endereço de e-mail original que ele configurou, albert@example.com, para redirecionar para um endereço de e-mail que não era seu Gmail pessoal. Depois disso, ele enviou uma mensagem para albert@example.com e ela acabou na caixa de entrada do destino não autorizado em vez do Gmail.
Na verdade, ele havia sequestrado albert@example.com por simplesmente adicionar o domínio a outra conta, não verificado, e instruir a Cloudflare para onde ela deveria enviar mensagens para albert@example.com.
“Suspeito que o servidor de e-mail da Cloudflare mantenha apenas um único registro para cada endereço , e que foi simplesmente substituído quando apliquei minhas configurações não autorizadas”, ele escreveu.
Um criminoso que explora a vulnerabilidade pode receber mensagens enviadas para o endereço de um estranho adicionando o domínio desse estranho à conta do invasor e encaminhando o e-mail para um destino não autorizado – se o estranho já estivesse usando a Cloudflare, o domínio foi verificado e seu roteamento de e-mail foi configurado.
“Não é apenas um grande problema de privacidade, mas também devido a o fato de que os links de redefinição de senha geralmente são enviados para o endereço de e-mail do usuário, um agente mal-intencionado também pode obter o controle de quaisquer contas vinculadas a esse endereço de e-mail”, escreveu Pedersen, acrescentando que criou um bom argumento para o uso de autenticação de dois fatores.
Ele observou que havia cerca de 600 domínios usando o sistema fechado serviço beta quando ele percebeu a falha de segurança, e todos eles poderiam ter seu e-mail seqüestrado se um mau ator tivesse entrado e explorado a falha.
A Cloudflare disse em um comunicado para que depois que a vulnerabilidade foi relatada, resolveu o problema e verificou que a falha não havia sido explorada. O roteamento de e-mail ainda está em versão beta aberta.
A empresa também enfatizou a importância dos programas de recompensas por bugs. Ele tem o seu próprio há vários anos, incluindo um programa privado criado em 2018. Em fevereiro, a Cloudflare anunciou um programa público pago hospedado pelo HackerOne e listou Pedersen entre seus 10 principais pesquisadores.
Pedersen em seu perfil no LinkedIn se descreve como um “entusiasta da Cloudflare”. Ele disse ao que é um MVP da Comunidade Cloudflare, que ele disse ser um membro voluntário do programa que faz contribuições significativas para o fórum da comunidade e responde às perguntas de outros usuários. Ele disse que usa uma variedade de produtos Cloudflare para projetos de hobby; seu blog está hospedado no Cloudflare Pages.
Pedersen atualmente estuda no Skive College na Dinamarca e, embora não tenha decidido o que fará depois de se formar, agora gosta de caçar bugs . Ele encontrou seu primeiro bug em abril de 2021.
