أعلنت شركة Cloudflare عن إصلاح ثغرة أمنية خطيرة في منطق التحقق الخاص ببروتوكول ACME المستخدم لإدارة شهادات SSL/TLS، والتي كانت تسمح بتجاوز أنظمة الحماية والوصول المباشر إلى خوادم الأصل. الثغرة تم اكتشافها في أكتوبر 2025 من قبل شركة الأمن السيبراني FearsOff، وأكدت Cloudflare أنها لم تجد أي دليل على استغلالها في سياق خبيث.
المشكلة كانت تكمن في كيفية معالجة شبكة الحافة التابعة لـ Cloudflare للطلبات الموجهة إلى مسار التحدي المعروف باسم HTTP-01 challenge ضمن بروتوكول ACME. هذا المسار يستخدم عادةً لإثبات ملكية النطاق أمام سلطات إصدار الشهادات، حيث يتم وضع رمز تحقق في المسار المحدد ليقوم خادم السلطة بالتحقق منه عبر طلب HTTP مباشر.
خلفية تقنية حول بروتوكول ACME
بروتوكول ACME (RFC 8555) يعد حجر الأساس في عمليات الإصدار التلقائي لشهادات SSL/TLS، حيث يتيح إثبات ملكية النطاق وتجديد الشهادات بشكل دوري دون تدخل يدوي. الأدوات الشائعة مثل Certbot تعتمد على هذا البروتوكول لإدارة دورة حياة الشهادات، سواء عبر تحدي HTTP-01 أو DNS-01.
في الحالة الطبيعية، عندما يكون الطلب مرتبطاً بأمر شهادة تديره Cloudflare، فإن الشركة تستجيب مباشرة وتقدم الرمز المطلوب لسلطة الشهادات. أما إذا لم يكن الطلب مرتبطاً بها، فإنه يُوجَّه إلى خادم العميل الأصلي الذي قد يستخدم نظام تحقق مختلف.
الثغرة ظهرت بسبب خلل في التحقق من مطابقة الرمز مع التحدي الفعلي للنطاق المطلوب، ما سمح بتمرير طلبات عشوائية إلى مسار التحدي وتعطيل قواعد WAF، وبالتالي الوصول إلى خوادم الأصل بشكل مباشر.
خطورة الاستغلال المحتمل
بحسب تصريحات كيريل فيرسوف، مؤسس ومدير شركة FearsOff، فإن هذه الثغرة كان يمكن أن تُستغل للحصول على رموز طويلة الأمد والوصول إلى ملفات حساسة على خوادم الأصل عبر جميع مضيفي Cloudflare. هذا السيناريو يفتح الباب أمام عمليات استطلاع واسعة النطاق قد يستخدمها مهاجمون لاختراق أنظمة أو جمع بيانات حساسة.
المنطق السابق في Cloudflare كان يعطل ميزات WAF عند تقديم رمز تحدي صحيح، وذلك لتجنب أي تدخل قد يعطل عملية التحقق من قبل سلطات الشهادات. لكن في حال كان الرمز مرتبطاً بمنطقة مختلفة وغير مُدارة مباشرة من Cloudflare، فإن الطلب كان يُسمح له بالمرور إلى خادم العميل دون أي حماية إضافية، وهو ما شكل الثغرة الأمنية.
إصلاح الثغرة ورد فعل Cloudflare
في 27 أكتوبر 2025، أصدرت Cloudflare تحديثاً برمجياً يعالج المشكلة بشكل جذري، حيث أصبح تعطيل ميزات WAF يتم فقط عند مطابقة الطلب مع رمز تحدي صحيح مرتبط بالنطاق المطلوب. هذا التغيير يمنع أي طلبات غير صحيحة من تجاوز أنظمة الحماية ويضمن بقاء خوادم الأصل محمية.
تؤكد هذه الحادثة أهمية التدقيق المستمر في بروتوكولات التحقق الآلي، خاصة تلك التي تتعامل مع شهادات الأمان والبنية التحتية للويب. كما تسلط الضوء على الدور الحيوي لشركات الأمن السيبراني المستقلة في اكتشاف الثغرات قبل أن تتحول إلى أدوات بيد المهاجمين.
