CloudflareのWAFにゼロデイ脆弱性、ACMEプロトコル経由の攻撃を確認

Cloudflare WAFにおけるゼロデイ脆弱性

CloudflareのWeb Application Firewall（WAF）において、深刻なゼロデイ脆弱性が確認された。
この欠陥により、攻撃者が一部のセキュリティ制御を回避し、保護下にあるオリジンサーバーへ直接アクセスできる状態に陥る可能性があったという。

本脆弱性は、**FearsOff**のセキュリティ研究者によって2025年10月9日に発見され、Cloudflareは同年10月27日に修正パッチを配布し、問題への対応を完了した。

ACMEプロトコル処理における設計上の問題

今回の問題の根底には、ACME（Automatic Certificate Management Environment）プロトコルにおける特定の認証経路が、WAFの検査ルールを適用されずに通過してしまう挙動があった。
ACMEは、SSL/TLS証明書の発行を自動化するための仕組みで、認証局がドメイン所有権を確認する際に /.well-known/acme-challenge/{token} といったパスを利用する。

この経路は、本来、証明書検証を行う自動化されたクライアントのみが使用することを前提として設計されており、通常の外部リクエストが到達しない想定となっている。
しかし今回のケースでは、この設計上の前提が攻撃経路として悪用され、WAFによる制御が及ばない状態が生じていた。

脆弱性の技術的背景

Cloudflareのエッジネットワークでは、ACME関連のリクエストを処理する際に、論理上の不備が存在していた。
具体的には、/.well-known/acme-challenge/ 以下を対象とするリクエストについて、正当な証明書検証処理を妨げない目的で、WAFの一部セキュリティ検査が適用されない設計となっていた。

しかし、この処理では、リクエストに含まれるトークンが実際に有効なACMEチャレンジであるかどうかを十分に検証できていなかった。
その結果、攻撃者が任意のリクエストをACME経路に送信することで、WAFの防御を回避し、保護対象であるオリジンサーバーへ直接アクセスできる状態が生じていた。

研究によって示された悪用可能性

**FearsOff**の研究者は、本脆弱性の影響を検証するため、複数のテスト環境を構築した。
WAFルールを設定し、すべてのトラフィックを遮断する構成とした検証用ドメインに対して実験を行った結果、特定の経路を経由することで、オリジンサーバーから直接レスポンスが返され、WAFによる制御が回避されることを確認したという。

研究チームによれば、この手法は Spring Boot、Next.js、PHP など、さまざまなアプリケーションフレームワークで悪用される可能性がある。
状況によっては、データベースの認証情報やAPIトークンといった機密情報へアクセスされるリスクも否定できないとされている。

Cloudflareの対応と今後の懸念

**Cloudflare**は、本問題への対応としてACMEチャレンジ処理のロジックを修正し、リクエストに含まれるトークンが、対象ホスト名に対して有効かつアクティブなチャレンジと一致する場合にのみ、WAF機能を無効化する仕組みへと変更した。
この対応により、利用者側で追加の設定や措置を行う必要はなく、現時点では本脆弱性が悪用された痕跡も確認されていないという。

一方、**FearsOff**は、AIベースの自動化ツールが将来的に同様の経路を探索・悪用する可能性を指摘しており、設計上の例外処理が新たな攻撃面を生み出し得る点に注意を促している。
今回の事例は、証明書管理の自動化とセキュリティ制御の両立が、クラウド防御において引き続き重要な課題であることを示している。