Cloudflare, el conocido servicio WAF (Web Application Firewall) utilizado por más de 25 millones de sitios web, seguía siendo vulnerable, hasta hace unos días, a un ataque Cross-Site Scripting (XSS) utilizando un tag de SVG.

Los sitios web protegidos con WAF, por ejemplo la que ofrece Cloudflare, generalmente bloquean a los atacantes que intentan explotar vulnerabilidades como inyecciones SQL, Cross-Site Scripting (XSS) y DoS a través de técnicas y payloads comunes. Una solicitud HTTP diseñada con un exploit XSS o SQLi sería bloqueada automáticamente por Cloudflare incluso antes de que llegue al backend del sitio web.

El ‘bypass’ es conocido desde el 4 de Junio de 2019, y no ha sido parcheado hasta hace unos días. El investigador de ciberseguridad y «bug bounty hunter» Bohdan Korzhynskyi compartió como creó una etiqueta HTML SVG, para explotar en un sitio web protegido por Cloudflare. Agregando caracteres codificados y ceros a la izquierda hace que el payload evada las protecciones de Cloudflare.

Cloudflare XSS Bypass via add 8 or more superfluous leading zeros for dec and 7 or more for hex.

Dec: <svg onload=prompt%26%230000000040document.domain)>
Hex: <svg onload=prompt%26%23×000000028;document.domain)>#Bypass #WAF #XSS #Cloudflare #BugBountyTip

— Bohdan Korzhynskyi (@bohdansec) June 4, 2019

Jackson Henry, otro reconocido investigador de ciberseguridad publicaba el pasado 3 de Enero una entrada donde hacía uso de dicha vulnerabilidad, donde luego se hacía eco de que fue descubierta por Korzhynsky en 2019 y seguía siendo efectiva.

🚨 New CloudFlare XSS Bypass! 🚨

<svg onload=alert%26%230000000040"1")>#XSS #BugBounty #BugBountyTips pic.twitter.com/f5otcSYl7h

— CVE-JACKSON-1337 桜の侍 (@JacksonHHax) January 3, 2021

Mas información:
Bohdan Korzhynsky: https://hackerone.com/bohdansec?type=user
Jackson Henry https://twitter.com/JacksonHHax
Cloudflare WAF bypass exploits revealed https://securityreport.com/cloudflare-waf-xss-bypass-exploits-revealed/
Cloudlfare: https://www.cloudflare.com/