Nghiên cứu mới cho thấy, hacker đang ngày càng lạm dụng tính năng Cloudflare Tunnels để tạo các kết nối HTTPS lén lút từ các thiết bị bị xâm nhập, vượt tường lửa và duy trì quyền truy cập liên tục.
Kỹ thuật này không hoàn toàn mới, như Phylum đã báo cáo hồi tháng 1, hacker đã tạo ra các gói PyPI độc hại sử dụng Cloudflare Tunnels để lén lút đánh cắp dữ liệu hoặc truy cập thiết bị từ xa.
CloudFlare Tunnels là một tính năng phổ biến do Cloudflare cung cấp, cho phép người dùng tạo các kết nối an toàn, chỉ gửi ra bên ngoài tới mạng Cloudflare cho máy chủ web hoặc ứng dụng. Người dùng có thể triển khai một tunnel đơn giản bằng cách cài đặt một trong các ứng dụng khách cloudflared có sẵn cho Linux, Windows, macOS và Docker. Từ đó, dịch vụ được hiển thị trên Internet với hostname do người dùng chỉ định để đáp ứng các tình huống sử dụng hợp pháp như chia sẻ tài nguyên, test…
Cloudflare Tunnel cung cấp một loạt các biện pháp kiểm soát truy cập, cấu hình cổng, quản lý nhóm và phân tích người dùng, mang lại cho người dùng mức độ kiểm soát cao đối với tunnel và các dịch vụ bị xâm phạm.
Theo báo cáo của GuidePoint, ngày càng có nhiều hacker lạm dụng Cloudflare Tunnel cho các mục đích bất chính, chẳng hạn như giành được quyền truy cập liên tục lén lút vào mạng của nạn nhân, trốn tránh sự phát hiện và đánh cắp dữ liệu của thiết bị bị xâm nhập.
Để phát hiện việc sử dụng trái phép Cloudflare Tunnel, GuidePoint khuyến nghị các tổ chức nên giám sát các truy vấn DNS cụ thể và sử dụng các cổng không tiêu chuẩn như 7844.
Hơn nữa, vì Cloudflare Tunnel yêu cầu cài đặt ứng dụng khách ‘cloudflared’, người làm công tác bảo vệ có thể phát hiện việc bằng cách theo dõi các tệp băm được liên kết với các bản phát hành của ứng dụng khách.
Nguồn: Bleeping Computer