Cloudflare Tunnel เป็นบริการสร้าง Outbound-only connection จากเครื่องผู้ใช้งานไปยังเครือข่ายของ Cloudflare ซึ่งช่วยเพิ่มความปลอดภัยและความรวดเร็วในการใช้งานบริการขององค์กร

GuidePoint DFIR และ GRIT Team ได้ออกรายงาน พบว่าแฮ็กเกอร์มีการใช้ Cloudflare Tunnel ช่วยในการหลบหลีกการตรวจจับในขั้นตอนการโจมตีมากขึ้น เนื่องจากสามารถ Bypass การตรวจจับจาก Firewall ได้ และช่วยให้สามารถหลบซ่อนตัวได้นานขึ้น

Phylum ได้มีการรายงานว่า เทคนิคนี้ได้มีการใช้ตั้งแต่ช่วงต้นปีที่ผ่านมา โดยพบว่า PyPI package ที่ฝังมัลแวร์บางตัวมีการใช้เทคนิคนี้ในการซ่อนตัว

GuidePoint ได้ยกตัวอย่างการใช้งาน Tunnel ที่ผู้โจมตีสามารถสร้าง RDP และ SMB connection เพื่อเชื่อมต่อไปยังเครื่องเป้าหมายและเก็บข้อมูลจากเครื่องเป้าหมายออกมาได้ผ่าน Cloudflare Tunnel โดยมีการใช้งาน HTTPS Connection และส่งข้อมูลผ่าน QUIC ผ่านพอร์ท 7844 ทำให้ระบบ Firewall และ Network Protection Solution ละเลยการตรวจสอบการเชื่อมต่อนี้ โดยแฮ็กเกอร์สามารถสร้าง Tunnel บน Cloudflare ได้อย่างรวดเร็วผ่านทางบริการ TryCloudflare โดยที่ไม่จำเป็นต้องมีบัญชีแต่อย่างใด

GuidePoint ได้แนะนำให้ผู้ดูแลระบบหันมาสอดส่องดูแลการใช้งาน Tunnel ในองค์กรมากขึ้น เนื่องจากอาจถูกใช้เพื่อหลบซ่อนการโจมตีได้ โดยอาจตรวจสอบการใช้งาน DNS query หรือพอร์ทอื่นๆที่เกี่ยวข้อง เช่น 7844 รวมทั้งตรวจสอบการใช้งาน Cloudflared Client ซึ่งเป็น Client สำหรับใช้งาน Cloudflare Tunnel ในเครื่องผู้ใช้งาน ที่ติดตั้งได้ทั้งบน Windows, Linux, macOS และ Docker

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-increasingly-abuse-cloudflare-tunnels-for-stealthy-connections/