Hacker haben eine neue Methode gefunden, um Cloudflare Tunnels zu missbrauchen und heimliche HTTPS-Verbindungen von kompromittierten Geräten herzustellen. Dabei umgehen sie Firewalls und stellen sicher, dass ihre Aktivitäten langfristig unentdeckt bleiben. Diese Technik ist zwar nicht völlig neu, wurde aber in letzter Zeit vermehrt von Bedrohungsakteuren eingesetzt.
Cloudflare Tunnels ist eine beliebte Funktion von Cloudflare, die es Benutzern ermöglicht, sichere Verbindungen zum Cloudflare-Netzwerk für Webserver oder Anwendungen herzustellen. Dabei wird ein Tunnel über einen vom Benutzer festgelegten Hostnamen im Internet zugänglich gemacht. Dies ermöglicht legitime Anwendungsszenarien wie Ressourcenteilung oder Tests.
Leider haben Hacker diese Funktion nun für böswillige Zwecke entdeckt. Sie nutzen Cloudflare Tunnels, um heimlich auf kompromittierte Geräte zuzugreifen, Daten zu stehlen oder das Netzwerk des Opfers dauerhaft zu infiltrieren. Die Einrichtung eines solchen Tunnels erfordert lediglich den Zugriff auf das Gerät des Opfers und das Tunnel-Token des Angreifers.
Einmal eingerichtet, kann der Hacker den Tunnel nach Belieben aktivieren oder deaktivieren und die Konfiguration in Echtzeit ändern. Dadurch kann er die Aktivitäten auf dem kompromittierten Gerät steuern und die Offenlegung seiner Infrastruktur verhindern. Beispielsweise könnte der Hacker die RDP-Konnektivität aktivieren, um Informationen zu sammeln, und sie dann deaktivieren, um die Chance auf Erkennung zu verringern.
Da die Kommunikation über den Tunnel über HTTPS und QUIC auf Port 7844 erfolgt, ist es unwahrscheinlich, dass Firewalls oder andere Netzwerkschutzlösungen diese Aktivitäten erkennen, es sei denn, sie sind speziell dafür konfiguriert. Dies macht es für die Verteidiger umso schwieriger, solche Angriffe zu erkennen und zu blockieren.
Leider gibt es weitere Möglichkeiten, wie Hacker diese Funktion missbrauchen können. Zum Beispiel können sie die Funktion “TryCloudflare” von Cloudflare nutzen, um einmalige Tunnel ohne Konto zu erstellen. Zusätzlich können sie die Funktion “Private Networks” missbrauchen, um auf einen gesamten Bereich interner IP-Adressen aus der Ferne zuzugreifen.
Um die unbefugte Nutzung von Cloudflare Tunnels zu erkennen, empfiehlt das Sicherheitsunternehmen GuidePoint, bestimmte DNS-Anfragen zu überwachen und nicht standardmäßige Ports wie 7844 zu blockieren. Außerdem können Verteidiger die Verwendung von Cloudflare Tunnel erkennen, indem sie die Datei-Hashes überwachen, die mit den Client-Versionen von “cloudflared” assoziiert sind.
Es ist wichtig, dass Organisationen sich dieser Bedrohung bewusst sind und entsprechende Sicherheitsvorkehrungen treffen. Nur so können sie ihre Systeme vor dieser neuen Angriffsmethode schützen und ihre Daten sicher halten.
Schlagwörter: Cloudflare Tunnels + Hackerangriffe + Datendiebstahl
Wie bewerten Sie den Schreibstil des Artikels?