Una nueva investigación ha revelado que los actores de amenazas están abusando de los túneles de Cloudflare para establecer canales de comunicación encubiertos desde hosts comprometidos y retener el acceso persistente.
«Cloudflared es funcionalmente muy similar a ngrok», dijo Nic Finn, analista senior de inteligencia de amenazas en GuidePoint Security . «Sin embargo, Cloudflared se diferencia de ngrok en que brinda mucha más facilidad de uso de forma gratuita, incluida la capacidad de alojar conectividad TCP sobre cloudflared».
Una herramienta de línea de comandos para Cloudflare Tunnel, cloudflared permite a los usuarios crear conexiones seguras entre un servidor web de origen y el centro de datos más cercano de Cloudflare para ocultar las direcciones IP del servidor web y bloquear la denegación de servicio distribuida volumétrica (DDoS) y Ataques de inicio de sesión de fuerza bruta.
Para un actor de amenazas con acceso elevado en un host infectado, esta función presenta un enfoque lucrativo para establecer un punto de apoyo mediante la generación de un token necesario para establecer el túnel desde la máquina de la víctima.
«El túnel se actualiza tan pronto como se realiza el cambio de configuración en el panel de Cloudflare, lo que permite a los TA habilitar la funcionalidad solo cuando desean realizar actividades en la máquina de la víctima y luego deshabilitar la funcionalidad para evitar la exposición de su infraestructura», explicó Finn.
«Por ejemplo, el TA podría habilitar la conectividad RDP, recopilar información de la máquina de la víctima y luego deshabilitar RDP hasta el día siguiente, lo que reduce la posibilidad de detección o la capacidad de observar el dominio utilizado para establecer la conexión».
Aún más preocupante, el adversario podría aprovechar la funcionalidad de redes privadas del túnel para acceder sigilosamente a un rango de direcciones IP (es decir, puntos finales dentro de una red local) como si estuvieran «ubicados físicamente con la máquina víctima que aloja el túnel».
Dicho esto, la técnica ya ha encontrado compradores en la naturaleza. A principios de este año, Phylum y Kroll detallaron dos ataques diferentes a la cadena de suministro de software dirigidos al repositorio Python Package Index (PyPI) en los que se observaron paquetes fraudulentos que descargaban cloudflared para acceder de forma remota al punto final a través de una aplicación web Flask.
«Las organizaciones que usan los servicios de Cloudflare legítimamente podrían potencialmente limitar sus servicios a centros de datos específicos y generar detecciones de tráfico como los túneles de Cloudflared que se enrutan a cualquier lugar excepto a sus centros de datos específicos», dijo Finn. «Este método podría ayudar en la detección de túneles no autorizados».
Para identificar un posible uso indebido de cloudflared, se recomienda que las organizaciones implementen mecanismos de registro adecuados para monitorear comandos anómalos, consultas de DNS y conexiones salientes, además de bloquear los intentos de descargar el ejecutable.
Fuente y redacción: thehackernews.com
