Manuel Roccon

ICT & Cyber Security Specialist

CloudFlare, siamo proprio così nascosti? Come scoprire IP del server!

Come accennavo negli articoli precedenti, CloudFlare è un ottimo servizio per poterci proteggere da bot e attacchi esterni oltre a nascondere IP del nostro server oltre ad avere funzionalità di cache che ne velocizzando la consultazione e diminuisce il traffico effettivo verso i nostri server.

Per chi non lo conoscesse, CloudFlare (in particolare nelle versioni a pagamento) filtra il traffico in entrata verso i nostri server bloccando il traffico anomalo attraverso regole firewall e WAF (Web Application Firewall) rendendo le nostre applicazioni più al sicuro e riducendo il traffico e le performance inutili che i server devono spendere per rispondere a queste richieste.

Anche se protetti da questa tipologia di Proxy, essendo servizi web, se venissimo a conoscenza IP del server che ci sta dietro è possibile comunque bypassare CloudFlare semplicemente modificando il file host del nostro computer e quindi superare tutte le difese ci CloudFlare, tutte le richieste arriveranno al nostro server senza passare per la protezione di CloudFlare.

Ma come è possibile trovare IP reale?

Per molti hosting, dove il server viene usato sia per ospitare il servizio web che la mail è sufficiente verificare IP del server MX.

Nelle configurazione più eterogenee, dove MX punti a un antispam o ogni servizio punti a un server differente individuare il server reale comincia a diventare più complicato.

La prossima mossa sarebbe quella di spiare i dns di terzo livello del dominio per intercettare un altro dns che punti a un IP differente, questo si può fare con un dizionario di comuni nomi DMS e poche righe di codice (bash o pyton), oppure tramite un servizio online come dnsspy…

https://dnsspy.io/

Una tecnica più sofisticata è quella di cerca di sfruttare delle vulnerabilità come RFI (remote file inclusion) al fine di caricare un file da un server remoto (che sarà il nostro) e individuare IP del server che ci sta facendo la chiamata, oppure tramite una vulnerabilità RCE (remote code execution), la più pericolosa, ma a questo punto il proprietario del server avrebbe ben altro a cui pensare che al proprio IP pubblico :-).

Per velocizzare queste verifiche esiste il tool CLOUDFAIL che automatizzato e combina più modalità di scansione per identificare questi indirizzi.

https://github.com/m0rtem/CloudFail

ClaudFail combina la ricerca dei principali record, cerca l’esistenza di record in Crimeflare ed esegue uno scan dei principali sottodomini.

Facciamo un esempio, vogliamo verificare i plugin del dominio www.xyz.it che sappiamo è un sito WordPress.

Per qualche motivo il tool non restituisce nessuna informazione utile, verificando il motivo è proprio perché c’è CloudFlare.

Ora usiamo il tool di cui abbiamo clonato la repo…

Effettivamente ci sono molti record che riconducono a un noto provider in Germania, ora proviamo a reindirizzare le richieste tramite il file host…

Ottimo ora riproviamo a scansionare il dominio…

Bingo! Ora riusciamo ad ottenere le informazioni che cercavamo scavalcando completamente le protezioni di CloudFlare.

Ora un altro esempio in cui il tool non individua niente perché configurato correttamente:

Da questo banale esempio, ci dimostra che anche avendo una protezione a monte, se non completamente configurata è facilmente scavalcabile. Per cui è necessario prestare attenzione ai record pubblicati, in particolare quelli comuni.

Per il record MX se necessariamente il server di posta è lo stesso del server web, munirsi di antispam.

Ricordiamoci che la sicurezza non è mai troppa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *