Secondo gli ultimi aggiornamenti, ricercatori del gruppo di sicurezza FearsOff hanno identificato un bug nei meccanismi che Cloudflare utilizza per verificare i certificati SSL/TLS. Tale vulnerabilità consentirebbe a un attaccante di bypassare completamente le regole di protezione tipiche del firewall, ottenendo potenzialmente accesso diretto ai server originari senza che le difese blocchino il traffico dannoso.
Il cuore del problema riguarda il percorso utilizzato per la validazione automatica dei certificati — noto come ACME HTTP‑01 challenge — che Cloudflare gestisce per automatizzare il processo di verifica dei domini. In teoria, solo il traffico legittimo dovrebbe transitare da questo percorso; in pratica, invece, è emerso che richieste non autorizzate riescono ad aggirare le regole impostate dal firewall.
Perché è pericoloso
Questa vulnerabilità mina uno dei livelli di difesa più critici per siti e servizi online: il Web Application Firewall (WAF). Se sfruttata da attori ostili, potrebbe permettere di accedere a:
- dati sensibili conservati sui server;
- funzionalità amministrative non protette correttamente;
- strutture interne delle applicazioni che dovrebbero restare private.
Esperti di sicurezza sottolineano che questo tipo di accesso indisturbato può avere impatti gravi su organizzazioni, aziende e servizi governativi che si affidano a Cloudflare per proteggere le proprie infrastrutture.
Tempistiche e risposta
La falla è stata segnalata ufficialmente tramite il programma HackerOne Bug Bounty il 9 ottobre 2025. Dopo una rapida fase di triage, Cloudflare ha implementato una correzione entro il 27 ottobre 2025, chiudendo il percorso di exploit individuato.
Secondo la società, non ci sono al momento prove che la vulnerabilità sia stata sfruttata su larga scala da attori esterni. Comunque, è stato consigliato agli amministratori di continuare a monitorare il traffico e mantenere aggiornati i sistemi di protezione complementari.
