De nouvelles recherches ont révélé que les acteurs de la menace abusent des tunnels Cloudflare pour établir des canaux de communication secrets à partir d’hôtes compromis et conserver un accès persistant.
« Cloudflared est fonctionnellement très similaire à ngrok », a déclaré Nic Finn, analyste principal des renseignements sur les menaces chez GuidePoint Security. « Cependant, Cloudflared diffère de ngrok en ce qu’il offre beaucoup plus de convivialité gratuitement, y compris la possibilité d’héberger la connectivité TCP sur cloudflared. »
Outil de ligne de commande pour Cloudflare Tunnel, cloudflared permet aux utilisateurs de créer des connexions sécurisées entre un serveur Web d’origine et le centre de données le plus proche de Cloudflare afin de masquer les adresses IP du serveur Web ainsi que de bloquer le déni de service distribué volumétrique (DDoS) et attaques de connexion par force brute.
Pour un acteur menaçant avec un accès élevé sur un hôte infecté, cette fonctionnalité présente une approche lucrative pour mettre en place un pied en générant un jeton requis pour établir le tunnel à partir de la machine victime.
« Le tunnel se met à jour dès que la modification de configuration est effectuée dans le tableau de bord Cloudflare, permettant aux TA d’activer la fonctionnalité uniquement lorsqu’ils souhaitent mener des activités sur la machine victime, puis de désactiver la fonctionnalité pour éviter l’exposition de leur infrastructure », a expliqué Finn.
« Par exemple, le TA pourrait activer la connectivité RDP, collecter des informations sur la machine victime, puis désactiver RDP jusqu’au lendemain, réduisant ainsi les chances de détection ou la capacité d’observer le domaine utilisé pour établir la connexion. »
Plus troublant encore, l’adversaire pourrait tirer parti de la fonctionnalité de réseaux privés du tunnel pour accéder furtivement à une plage d’adresses IP (c’est-à-dire des points de terminaison au sein d’un réseau local) comme s’ils étaient « physiquement colocalisés avec la machine victime hébergeant le tunnel ».
Cela dit, la technique a déjà trouvé preneur dans la nature. Plus tôt cette année, Phylum et Kroll ont détaillé deux attaques différentes de la chaîne d’approvisionnement logicielle ciblant le référentiel Python Package Index (PyPI) dans lequel des packages frauduleux ont été observés téléchargeant cloudflared pour accéder à distance au point de terminaison via une application Web Flask.
« Les organisations utilisant légitimement les services Cloudflare pourraient potentiellement limiter leurs services à des centres de données spécifiques et générer des détections pour le trafic comme les tunnels Cloudflared qui acheminent vers n’importe où sauf leurs centres de données spécifiés », a déclaré Finn. « Cette méthode pourrait aider à détecter les tunnels non autorisés. »
Pour identifier une éventuelle utilisation abusive de cloudflared, il est recommandé aux organisations de mettre en place des mécanismes de journalisation adéquats pour surveiller les commandes anormales, les requêtes DNS et les connexions sortantes, ainsi que les tentatives de blocage de téléchargement de l’exécutable.
