How we mitigated a vulnerability in Cloudflare’s ACME validation logic

كيف قمنا بتخفيف ثغرة أمنية في منطق التحقق من ACME في Cloudflare

في أكتوبر 2025، تم الإبلاغ عن ثغرة أمنية خطيرة في منطق التحقق من ACME (بيئة إدارة الشهادات التلقائية) في Cloudflare، مما أدى إلى تعطيل بعض ميزات جدار الحماية على مسارات محددة متعلقة بـ ACME. تم الإبلاغ عن هذه الثغرة من قبل باحثين أمنيين من FearsOff وتم التحقق منها من خلال برنامج المكافآت على الأخطاء الأمنية في Cloudflare. في هذا المقال، سنشرح كيف تعمل بروتوكولات ACME والخطوات التي اتخذناها لمعالجة هذه الثغرة الأمنية.

ما هو بروتوكول ACME؟

بروتوكول ACME هو معيار مفتوح يستخدم لإدارة الشهادات الرقمية تلقائيًا. يتم استخدامه بشكل أساسي لإصدار وتجديد شهادات SSL/TLS لمجالات الويب. يتم استخدام هذا البروتوكول من قبل العديد من مزودي الشهادات الرقمية، بما في ذلك Let's Encrypt. يعمل بروتوكول ACME من خلال التحقق من ملكية المجال باستخدام تحديات مختلفة، مثل HTTP-01 وDNS-01.

وفقًا لتقرير صادر عن مشروع Let's Encrypt، تم إصدار أكثر من 200 مليون شهادة رقمية باستخدام بروتوكول ACME في عام 2025 وحده. (المصدر: Let's Encrypt)

تفاصيل الثغرة الأمنية

تم اكتشاف الثغرة الأمنية في كيفية معالجة شبكة Cloudflare للطلبات المرسلة إلى مسار تحديات ACME HTTP-01 (/.well-known/acme-challenge/*). كانت الثغرة الأمنية تسمح للمهاجمين بتجاوز بعض ميزات جدار الحماية على هذه المسارات، مما قد يؤدي إلى هجمات ضارة على المواقع الإلكترونية.

  • التحدي HTTP-01: يتم استخدام هذا التحدي للتحقق من ملكية المجال عن طريق تقديم ملف معين على مسار محدد على المجال.
  • الآثار الأمنية: كانت الثغرة الأمنية تسمح للمهاجمين بتقديم طلبات ضارة على مسارات تحديات ACME دون أن يتم اكتشافها من قبل جدار الحماية.

الخطوات التي اتخذناها لمعالجة الثغرة الأمنية

بعد الإبلاغ عن الثغرة الأمنية، عمل فريقنا بسرعة على معالجتها. كانت الخطوات التي اتخذناها تشمل:

  1. تحليل الثغرة الأمنية وتحديد نطاق تأثيرها.
  2. تحديث منطق التحقق من ACME لضمان عدم تجاوز ميزات جدار الحماية.
  3. اختبار الحلول لضمان أنها تعمل بشكل صحيح.
المعيارقبل التحديثبعد التحديث
أمان جدار الحمايةمتجاوزمحمي
أداء الشبكةطبيعيمحسن

أسئلة شائعة

س: ما هو بروتوكول ACME؟

ج: بروتوكول ACME هو معيار مفتوح لإدارة الشهادات الرقمية تلقائيًا.

س: كيف تم الإبلاغ عن الثغرة الأمنية؟

ج: تم الإبلاغ عن الثغرة الأمنية من قبل باحثين أمنيين من FearsOff من خلال برنامج المكافآت على الأخطاء الأمنية في Cloudflare.

نصائح عملية

  1. تأكد من تحديث برنامج جدار الحماية بانتظام لضمان حماية المواقع الإلكترونية.
  2. استخدم بروتوكولات أمان متقدمة مثل ACME لإدارة الشهادات الرقمية تلقائيًا.

الخلاصة

تم معالجة الثغرة الأمنية في منطق التحقق من ACME في Cloudflare بنجاح. نحن نعمل باستمرار على تحسين أمان شبكتنا وخدماتنا. إذا كانت لديك أسئلة أو مخاوف بشأن أمان موقعك الإلكتروني، فلا تتردد في مشاركتها معنا في التعليقات أدناه. ما هي أكثر المخاوف الأمنية التي تشغل بالك بشأن موقعك الإلكتروني؟