ClickCease Les pirates utilisent les tunnels Cloudflare pour contourner les pare-feu

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les pirates abusent des tunnels Cloudflare pour contourner les pare-feu et établir des points d'appui à long terme

Wajahat Raja

Le 16 août 2023 - L'équipe d'experts de TuxCare

Une nouvelle tendance inquiétante se développe dans le monde de la cybersécurité. Les pirates ont trouvé le moyen d'abuser de plus en plus abuser des tunnels Cloudflare à des fins malveillantes. Cette stratégie consiste à utiliser les tunnels Cloudflare pour générer des connexions HTTPS chiffrées à partir d'appareils compromis. Elle permet de contourner efficacement les pare-feux et d'établir des points d'appui à long terme.

 

Comprendre les tunnels Cloudflare

 

Tunnels Cloudflare, une fonctionnalité bien connue de Cloudflareest au cœur du problème. Cette fonctionnalité permet aux clients de se connecter au réseau Cloudflare en toute sécuritéCette fonctionnalité permet aux clients de se connecter au réseau Cloudflare en toute sécurité et de manière unidirectionnelle (principalement pour les serveurs web et les applications). La méthode commence par l'installation d'un des clients "Cloudflare" disponibles pour Linux, Windows, macOS et Docker.

Ce tunnel initié fonctionne sous un nom d'hôte spécifié par l'utilisateur. Il sert à des fins légitimes telles que le partage de ressources et les tests. Les tunnels Cloudflare comprennent un ensemble de contrôles, de configurations de passerelles, d'administration d'équipe, ainsi que des informations sur les utilisateurs. Cela donne aux utilisateurs un contrôle important sur le tunnel et les services qu'il offre.

Bien qu'il ne s'agisse pas d'une nouveauté, les tunnels Cloudflare l'utilisation abusive des tunnels Cloudflare à des fins malveillantes a fait l'objet d'un regain d'attention. Phylum, un organisme de surveillance de la cybersécurité, a signalé des cas en janvier 2023 où l'on a vu des pirates informatiques abuser des tunnels Cloudflare pour voler des données et obtenir un accès non autorisé à des appareils.

L'abus des tunnels Cloudflare devient courant 

 

Récentes nouvelles sur la cybersécuritémontre que cette tactique est devenue plus courante. Les équipes Digital Forensics and Incident Response (DFIR) de GuidePoint, ainsi que leurs experts Global Threat Intelligence (GRIT), signalent des abus dans les opérations de Cloudflare de Cloudflare. Les implications sont importantes et indiquent une nouvelle arme mortelle dans la boîte à outils des pirates informatiques.

L'analyse de GuidePoint révèle une tendance alarmante. De plus en plus d'attaquants hostiles sont impliqués dans des activités de phishing et d'abus de logiciels malveillants. l'hameçonnage et l'abus de logiciels malveillants CloudflareCloudflare, qui exploite les tunnels Cloudflare à des fins stratégiques. Il s'agit notamment d'établir et de maintenir un accès caché à des réseaux compromis, d'échapper à la découverte, sans oublier de transmettre secrètement des données à partir des appareils de la victime.

Une seule commande exécutée à partir de l'appareil de la victime suffit. Cette commande établit un canal de communication clandestin en révélant à peine le jeton de tunnel unique du pirate. Parallèlement, le pirate conserve le pouvoir de modifier les paramètres du tunnel, l'activant ou le désactivant rapidement en fonction de son objectif.

Le pirate pourrait activer l'accès au protocole de bureau à distance (RDP), acquérir des informations à partir de l'appareil de la victime, puis désactiver le RDP jusqu'au cycle opérationnel suivant. Cette astuce permet de réduire les risques d'exposition ainsi que les probabilités de détection.

L'utilisation de QUIC sur le port 7844 pour la connexion HTTPS et le transfert de données garantit que les défenses réseau standard ne signalent souvent pas cette activité, à moins qu'elle ne soit explicitement configurée pour le faire. Pour mieux se dissimuler, les connexions furtives des pirates peuvent utiliser l'option "TryCloudflare" de Cloudflare sans avoir à créer un compte.

En outre, le pirate qui s'est infiltré dans un seul appareil client peut éventuellement accéder à toute une série d'adresses IP internes en utilisant malicieusement la fonction "Réseaux privés" de Cloudflare. Cette inversion risquée permet à l'attaquant d'accéder à des services qui sont normalement limités à l'utilisation d'un réseau local.

 

Mesures pour prévenir l'utilisation abusive du tunnel Cloudflare

 

Prendre des précautions pour empêcher l'accès non autorisé au réseau réseau Cloudflare est devenu plus important que jamais. Les organisations devraient surveiller certaines requêtes DNS, qui sont incluses dans l'ensemble du rapport. En outre, l'utilisation de ports non standard, tels que 7844, permet de détecter avec succès.

Les défenseurs peuvent renforcer leur position en suivant les hachages de fichiers liés aux mises à jour du client "Cloudflare". Cela peut être utilisé comme un indicateur fiable pour aider à identifier les invasions potentielles.

Dans un monde où la cybersécurité est essentielle, l'abus de Cloudflare Tunnels pour des connexions cachées exige une attention immédiate. Cette tendance souligne l'importance d'une surveillance vigilante, d'une défense proactive et d'une adaptation permanente afin de rester à l'avant-garde des nouvelles menaces.

Pour toute question, contactez nos expertset dites NON à ces connexions non autorisées où les hackers abusent des tunnels Cloudflare !

Les sources de cet article comprennent un article paru dans Bleeping Computer.

Résumé
Les pirates abusent des tunnels Cloudflare pour contourner les pare-feu et établir des points d'appui à long terme
Nom de l'article
Les pirates abusent des tunnels Cloudflare pour contourner les pare-feu et établir des points d'appui à long terme
Description
Découvrez la menace croissante des pirates qui abusent des tunnels Cloudflare pour établir des connexions cachées. Restez informé et protégez votre réseau contre les abus.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information