Los atacantes usan Cloudflare Tunnel para actuar como 'proxy' en las redes de las víctimas
Explotar este servicio requiere poca habilidad y potencialmente podría comprometer toda la red.
Cloudflare Tunnel es una poderosa solución de ‘tunelización’ que da a las organizaciones una forma de hacer que las aplicaciones y los servicios internos sean accesibles para usuarios externos de manera segura. Sin embargo, como la mayoría de las herramientas destinadas a hacer que la administración de la infraestructura sea más fácil y segura, los atacantes también pueden abusar de ellas.
Un grupo de investigación de GuidePoint Security ha examinado varios incidentes en los que los atacantes utilizaron este túnel para mantener el acceso a las redes de las víctimas. Aunque estos intentos no fueron muy sofisticados, se estima que más actores de amenazas adoptarán la herramienta debido a sus potentes funciones y facilidad de uso.
“El punto clave es que el servicio llega a los servidores perimetrales de Cloudflare, creando una conexión saliente a través de HTTPS donde el controlador del túnel hace que las redes privadas sean accesibles a través de los cambios de configuración de la consola de Cloudflare”, dice Nic Finn, consultor senior de inteligencia de amenazas en GuidePoint. “Estos cambios se administran a través de su panel Zero Trust y se utilizan para permitir que fuentes externas accedan directamente a servicios importantes, incluidos SSH, RDP, SMB y otros”.
Beneficios para los atacantes
En primer lugar, instalar Cloudflare Tunnel es muy fácil. Hay versiones disponibles para Windows, macOS y varias distribuciones de Linux, así como para arquitecturas de CPU, Intel y ARM. Todo lo que se requiere es descargar un ejecutable llamado Cloudflared. El túnel es de código abierto y está desarrollado por una empresa de confianza, por lo que es probable que las aplicaciones de seguridad lo incluyan en la lista blanca.
El segundo beneficio importante para el atacante es que todas las configuraciones se pueden realizar desde el tablero de Cloudflare. Todo lo que se requiere es proporcionar un token generado por el tablero. Esto también significa que la configuración del túnel se puede actualizar de manera fácil y remota en cualquier momento que quiera el atacante.
Cloudflare Tunnel podría exponer toda la red
El servicio permite a los usuarios enrutar un rango de IP de red completo a través del túnel, por lo que los ciberdelincuentes podrían implementarlo en una máquina y luego usarlo para acceder a cualquier servicio en la red local, incluso si se ejecutan en diferentes máquinas, especialmente trabajando como una VPN. De hecho, un atacante puede implementar Cloudflare WARP, su solución similar a VPN, en su propia máquina y luego usar el túnel como si estuviera en la misma red que el sistema comprometido.
Una desventaja es que los ‘malos’ requerirían una cuenta de Cloudflare, que podría suspenderse fácilmente una vez se descubra el abuso. Sin embargo, Finn señala que Cloudflare ofrece una opción sin cuenta para implementaciones que están limitadas a un solo túnel.
Detección y defensa contra el túnel comprometido
“Intentar capturar inteligencia de amenazas procesable de Cloudflared en una máquina víctima puede ser difícil”, expresa Finn. “Primero, Cloudflared no almacena registros en el servidor del túnel de forma predeterminada. Si Cloudflared se ejecuta desde una línea de comandos, la salida del registro se envía a la salida estándar, lo que significa que un defensor puede ver la actividad en tiempo real, pero solo si tiene acceso al proceso en un símbolo del sistema o en un contexto de terminal. Esto se vuelve problemático si el actor de amenazas ejecuta Cloudflared como un servicio en la máquina de la víctima.
Una forma de detectar el uso de Cloudflare Tunnel es monitorear las consultas de DNS para varios hosts, incluidos update.argotunnel.com, protocol-v2.argotunnel.com y *.v2.argotunnel.com. El demonio del túnel intentará conectarse a las direcciones IP devueltas por estas consultas, que generalmente serán los servidores perimetrales de Cloudflare más cercanos a la víctima en diferentes regiones.
Las conexiones subsiguientes a estas direcciones IP se realizarán mediante el protocolo QUIC en el puerto 7844, por lo que monitorear las conexiones salientes a este puerto podría indicar el uso de Cloudflare Tunnel en una red. Por supuesto, si Cloudflare Tunnel ya se está utilizando en la red de manera autorizada, se deben implementar filtros adicionales, como la exclusión de direcciones IP específicas donde se sabe y está autorizado a ejecutar Cloudflared.
Otros métodos de detección podrían incluir el monitoreo local en máquinas para la línea de comandos o registros de ejecución de procesos que contienen los argumentos "tunnel run -token" y variantes relacionadas. Los hash de archivos para las versiones binarias de Cloudflared también se pueden agregar a un EDR local.
