Los hackers abusan de los túneles de Cloudflare para eludir cortafuegos y establecer puntos de apoyo a largo plazo
Una nueva e inquietante tendencia está creciendo en el mundo de la ciberseguridad. Los hackers han encontrado una forma de abusar de Cloudflare para sus fines maliciosos. Esta estrategia consiste en utilizar los túneles de Cloudflare para generar conexiones HTTPS cifradas desde dispositivos comprometidos. De este modo, se evitan los cortafuegos y se establecen puntos de apoyo a largo plazo.
Entender los túneles de Cloudflare
Cloudflare Tunnels, una conocida característica de Cloudflareestá en el centro de este problema. Esta característica permite a los clientes conectarse a la red de Cloudflare dede forma unidireccional (principalmente para servidores web y aplicaciones). El método comienza con la instalación de uno de los clientes de Cloudflare disponibles para Linux, Windows, macOS y Docker.
Este túnel iniciado se ejecuta bajo un nombre de host especificado por el usuario. Sirve para fines legítimos como compartir recursos y realizar pruebas. Los túneles de Cloudflare incluyen un conjunto de controles, configuraciones de puerta de enlace, administración de equipos, así como información para el usuario. Esto proporciona a los usuarios un control significativo sobre el túnel y los servicios que ofrece.
Aunque no es totalmente nuevo, el abuso de los túneles de Cloudflare con fines nefastos ha recibido renovada atención. Phylum, un organismo de vigilancia de la ciberseguridad, informó de casos en enero de 2023 en los que se vio a hackers abusar de Cloudflare para robar datos y obtener acceso no autorizado a dispositivos.
El abuso de los túneles de Cloudflare es cada vez más común
Recientes noticias sobre ciberseguridadsin embargo, muestran que esta táctica se ha vuelto más común. Los equipos de Análisis Forense Digital y Respuesta a Incidentes (DFIR) de GuidePoint, junto con sus expertos en Inteligencia Global de Amenazas (GRIT), informan del abuso de las operaciones de Cloudflare de Cloudflare. Las implicaciones son significativas y apuntan a una nueva arma mortal en la caja de herramientas de los hackers.
El análisis de GuidePoint revela una tendencia alarmante. Cada vez hay más atacantes hostiles implicados en phishing y abuso de malware Cloudflareexplotando los túneles de Cloudflare con fines estratégicos. Estos incluyen establecer y mantener un acceso oculto a las redes comprometidas, evadir el descubrimiento, y sin olvidar la transmisión secreta de datos desde los dispositivos de la víctima.
Basta con ejecutar un único comando desde el dispositivo de la víctima. Este comando establece un canal de comunicación clandestino al apenas revelar el token de túnel único del hacker. Paralelamente, el hacker conserva el poder de modificar la configuración del túnel, activándolo o desactivándolo rápidamente en función de su objetivo.
El hacker podría habilitar el acceso al Protocolo de Escritorio Remoto (RDP), adquirir información del dispositivo de la víctima y, a continuación, deshabilitar el RDP hasta el siguiente ciclo operativo. Esta inteligente alternancia reduce los peligros de exposición, así como las probabilidades de detección.
Significativamente, el uso de QUIC en el puerto 7844 para la conexión HTTPS y la transferencia de datos asegura que las defensas de red estándar a menudo no señalan esta actividad a menos que se configure explícitamente para hacerlo. Para aumentar el disimulo, los hackers de conexiones furtivas pueden utilizar la opción 'TryCloudflare' de Cloudflare sin tener que crear una cuenta.
Además, el hacker que se ha infiltrado en un único dispositivo cliente puede posiblemente adquirir acceso a todo un espectro de direcciones IP internas utilizando maliciosamente la capacidad de "redes privadas" de Cloudflare. Esta arriesgada inversión permite al atacante acceder a servicios que normalmente están confinados al uso de la red local.
Medidas para evitar el abuso del túnel de Cloudflare
Tomar precauciones para evitar Cloudflare se ha vuelto crucial ahora más que nunca. Las organizaciones deberían vigilar determinadas consultas DNS, que se incluyen en todo el informe. Además, el uso de puertos no estándar, como el 7844, se detecta con éxito.
Los defensores pueden reforzar aún más su posición rastreando los hashes de archivos relacionados con las actualizaciones del cliente 'Cloudflare'. Esto puede utilizarse como indicador fiable para ayudar a identificar posibles invasiones.
En un mundo en el que la ciberseguridad es fundamental, el abuso de los túneles de Cloudflare de conexiones ocultas exige una atención inmediata. Esta tendencia subraya la importancia de la vigilancia, la defensa proactiva y la adaptación continua para adelantarse a las nuevas amenazas.
Para cualquier consulta póngase en contacto con nuestros expertosy diga NO a estas conexiones no autorizadas en las que los hackers abusan de los de Cloudflare.
Las fuentes de este artículo incluyen un artículo en Bleeping Computer.