Hackerlar artık Cloudflare Tunnels özelliğini yasadışı bir şekilde kullanarak kompromize edilmiş cihazlardan gizli HTTPS bağlantıları oluşturarak guvenlik duvarlarını aşmak ve uzun vadeli süreklilik sağlamaktadır. Cloudflare Tunnels’ı suistimal etmek yeni bir teknik değil; Phylum, Ocak 2023’te tehdit aktörlerinin kötü amaçlı PyPI paketleri oluşturarak Cloudflare Tunnels’ı kullanarak veri çalma veya uzaktan cihazlara erişim sağladığını raporlamıştı.
Ancak, daha fazla tehdit aktörünün bu taktiği kullanmaya başladığı görünüyor. GuidePoint’in DFIR ve GRIT ekipleri geçen hafta artan bir faaliyet gözlemlediklerini bildirdiler.
Cloudflare Tunnels Suistimali
CloudFlare Tunnels, web sunucuları veya uygulamalar için güvenli, yalnızca çıkış yapabilen bağlantılar oluşturmayı sağlayan popüler bir Cloudflare özelliğidir. Kullanıcılar, Linux, Windows, macOS ve Docker için bulunan cloudflared istemcilerinden birini yükleyerek bir tünel oluşturabilirler. Hizmet daha sonra internete, kaynak paylaşımı, test gibi yasal kullanım senaryolarını karşılamak üzere kullanıcı tarafından belirlenen bir ana bilgisayar adında açılır.
Cloudflare Tunnels, tüneli ve maruz kalan kompromize edilmiş hizmetleri yüksek bir derecede kontrol etmek için erişim kontrolleri, ağ geçidi yapılandırmaları, ekip yönetimi ve kullanıcı analitikleri sunar.
GuidePoint’in raporuna göre daha fazla tehdit aktörü, Cloudflare Tunnels’ı, gizlice sürekli erişim sağlama, tespitten kaçınma ve kompromize edilmiş cihazların verilerini dışarı çıkarma gibi kötü amaçlarla suistimal etmektedir.
Kurbanın cihazından gelen tek bir komut, saldırganın benzersiz tünel belirteci dışında hiçbir şeyi açığa çıkarmadan gizli iletişim kanalını kurmak için yeterli oluyor. Aynı zamanda, tehdit aktörü bir tünelin yapılandırmasını değiştirebilir, gerektiğinde devre dışı bırakabilir ve etkinleştirebilir.
“Yapılandırma değişikliği Cloudflare Kontrol Paneli’nde yapıldığı anda tünel güncellenir, böylece tehdit aktörleri, yalnızca kurban makinede faaliyet yürütmek istediklerinde işlevselliği etkinleştirebilir ve ardından altyapılarının maruz kalmasını önlemek için işlevselliği devre dışı bırakabilir,” diye açıklıyor GuidePoint.
“Aynı zamanda TA, RDP bağlantısını etkinleştirip, kurban makinesinden bilgi toplayabilir, ardından RDP’yi ertesi güne kadar devre dışı bırakabilir, böylece tespit olasılığını azaltabilir veya bağlantı kurmak için kullanılan alan adını gözlemleme yeteneğini sınırlayabilir.”
Çünkü HTTPS bağlantısı ve veri alışverişi, 7844 numaralı port üzerinden QUIC üzerinden gerçekleştiği için, bu süreç duvarları veya diğer ağ koruma çözümlerini özel olarak yapılandırılmadıkça genellikle belirtmeyecektir.
Aynı zamanda saldırgan daha da gizli olmak istiyorsa, Cloudflare’ın ‘TryCloudflare’ özelliğini kötüye kullanabilir. Bu özellik kullanıcıların bir hesap oluşturmadan tek seferlik tüneller oluşturmalarına izin verir.
Kötüye kullanımı daha da kötüleştirmek için, GuidePoint, bir tüneli kurmuş bir saldırganın bir istemci (kurban) cihazına bir tünel oluşturmasına izin vermek için Cloudflare’ın ‘Özel Ağlar’ özelliğini de kötüye kullanabileceğini söylüyor. Böylece tüm dahili IP adres aralığına uzaktan erişim sağlayabilir.
“Özel ağ yapılandırıldığına göre, yerel ağdaki cihazlara dönebilirim, yerel ağ kullanıcılarıyla sınırlı olan hizmetlere erişebilirim,” diye uyardı GuidePoint araştırmacısı Nic Finn.
Cloudflare Tunnels’ın yetkisiz kullanımını tespit etmek için GuidePoint, belirli DNS sorgularını izlemeyi ve 7844 gibi standart olmayan portları kullanmayı önermektedir. Ayrıca, Cloudflare Tünel’in kullanımı ‘cloudflared’ istemci kurulumunu gerektirdiğinden, savunucular istemci sürümleriyle ilişkilendirilmiş dosya karma değerlerini izleyerek kullanımını tespit edebilirler.
kaynak:bleeping computer