Les pirates abusent de plus en plus de la fonctionnalité légitime Cloudflare Tunnels pour créer des connexions HTTPS furtives à partir d’appareils compromis, contourner les pare-feu et maintenir une persistance à long terme.

La technique n’est pas entièrement nouvelle, car Phylum a signalé en janvier 2023 que des acteurs malveillants avaient créé des packages PyPI malveillants qui utilisaient Cloudflare Tunnels pour voler furtivement des données ou accéder à distance à des appareils.

Cependant, il semble que davantage d’acteurs malveillants aient commencé à utiliser cette tactique, comme l’ont rapporté les équipes DFIR et GRIT de GuidePoint la semaine dernière, constatant une augmentation de l’activité.

Abuser des tunnels Cloudflare
CloudFlare Tunnels est une fonctionnalité populaire fournie par Cloudflare, permettant aux utilisateurs de créer des connexions sécurisées et uniquement sortantes vers le réseau Cloudflare pour les serveurs Web ou les applications.

Les utilisateurs peuvent déployer un tunnel simplement en installant l’un des clients cloudflared disponibles pour Linux, Windows, macOS et Docker.

À partir de là, le service est exposé à Internet sur un nom d’hôte spécifié par l’utilisateur pour s’adapter à des scénarios d’utilisation légitimes tels que le partage de ressources, les tests, etc.

Les tunnels Cloudflare fournissent une gamme de contrôles d’accès, de configurations de passerelle, de gestion d’équipe et d’analyse des utilisateurs, offrant aux utilisateurs un degré élevé de contrôle sur le tunnel et les services compromis exposés.

Dans le rapport de GuidePoint, les chercheurs affirment que de plus en plus d’acteurs malveillants abusent des tunnels Cloudflare à des fins néfastes, telles que l’obtention d’un accès furtif et persistant au réseau de la victime, l’évitement de la détection et l’exfiltration des données des appareils compromis.

Une seule commande de l’appareil de la victime, qui n’expose rien d’autre que le jeton de tunnel unique de l’attaquant, suffit à mettre en place le canal de communication discret. Dans le même temps, l’auteur de la menace peut modifier la configuration d’un tunnel, le désactiver et l’activer selon les besoins en temps réel.

Mise en place d’un tunnel malveillant

« Le tunnel se met à jour dès que la modification de configuration est effectuée dans le tableau de bord Cloudflare, permettant aux TA d’activer la fonctionnalité uniquement lorsqu’ils souhaitent mener des activités sur la machine victime, puis de désactiver la fonctionnalité pour éviter l’exposition de leur infrastructure », explique GuidePoint.

« Par exemple, le TA pourrait activer la connectivité RDP, collecter des informations sur la machine victime, puis désactiver RDP jusqu’au lendemain, réduisant ainsi les chances de détection ou la capacité d’observer le domaine utilisé pour établir la connexion. »

Étant donné que la connexion HTTPS et l’échange de données se produisent via QUIC sur le port 7844, il est peu probable que les pare-feu ou d’autres solutions de protection réseau signalent ce processus à moins qu’ils ne soient spécifiquement configurés pour le faire.

Connexion SMB à l’appareil d’une victime

De plus, si l’attaquant veut être encore plus furtif, il peut abuser de la fonctionnalité « TryCloudflare » de Cloudflare qui permet aux utilisateurs de créer des tunnels uniques sans créer de compte.

Pour aggraver les choses, GuidePoint indique qu’il est également possible d’abuser de la fonctionnalité « Réseaux privés » de Cloudflare pour permettre à un attaquant qui a établi un tunnel vers un seul appareil client (victime) d’accéder à distance à toute une gamme d’adresses IP internes.

« Maintenant que le réseau privé est configuré, je peux basculer vers des appareils sur le réseau local, accéder à des services limités aux utilisateurs du réseau local », a averti le chercheur de GuidePoint, Nic Finn.

Pour détecter une utilisation non autorisée de Cloudflare Tunnels, GuidePoint recommande aux organisations de surveiller les requêtes DNS spécifiques (partagées dans le rapport) et d’utiliser des ports non standard comme 7844.

De plus, comme Cloudflare Tunnel nécessite l’installation du client « cloudflared », les défenseurs peuvent détecter son utilisation en surveillant les hachages de fichiers associés aux versions du client.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *