Chi ha staccato Cloudflare durante l’interruzione ha messo a rischio la sua infrastruttura

Redazione RHC : 21 Novembre 2025 15:45

Un’importante interruzione dell’infrastruttura di Cloudflare ha messo inaspettatamente alla prova la solidità del cloud e dei suoi sistemi di sicurezza per molte aziende. Il 18 novembre, le interruzioni del servizio hanno causato la disconnessione di siti web in tutto il mondo più volte e alcuni clienti hanno tentato di abbandonare temporaneamente la piattaforma per mantenere la disponibilità delle risorse.

Questa manovra forzata ha anche comportato la perdita per diverse ore da parte delle applicazioni web del tradizionale filtro del traffico dannoso, che Cloudflare in genere blocca ai margini della rete.

I problemi sono iniziati intorno alle 6:30 EST (11:30 UTC), quando sulla pagina di stato è apparsa una notifica relativa al degrado dei servizi interni. Nelle ore successive, le risorse sono tornate online, per poi tornare nuovamente non disponibili. La situazione è stata complicata dal fatto che il portale di Cloudflare era frequentemente inattivo e molti domini si affidavano anche al servizio DNS dell’azienda , rendendo tecnicamente difficile il passaggio a soluzioni alternative.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ciononostante, alcuni proprietari di siti web hanno comunque modificato il routing, ed è stato questo tentativo di garantire la disponibilità senza fare affidamento sul perimetro di sicurezza di Cloudflare a rendere la loro infrastruttura più vulnerabile agli aggressori.

Esperti terzi sottolineano che la piattaforma mitiga efficacemente i tipi più comuni di attacchi a livello applicativo , tra cui attacchi brute-force alle credenziali, attacchi SQL injection, tentativi di bypass dei controlli API e numerosi scenari di traffico automatizzato. Pertanto, l’improvvisa perdita di questo livello ha rivelato vulnerabilità nascoste, nei controlli di sicurezza locali a compromissioni di lunga data nei controlli lato applicazione.

In un caso, l’aumento del volume dei log è stato così significativo che l’azienda sta ancora cercando di determinare quali eventi fossero veri e propri tentativi di intrusione e quali fossero solo rumore.

Gli analisti sottolineano che durante il periodo in cui alcuni importanti siti web sono stati costretti a operare senza Cloudflare, qualsiasi osservatore avrebbe potuto notare cambiamenti nei record DNS e rendersi conto che la linea difensiva era scomparsa.

Per i gruppi criminali, tali periodi rappresentano un’opportunità per lanciare attacchi precedentemente bloccati a livello perimetrale, soprattutto se il bersaglio era già sotto sorveglianza. Pertanto, le organizzazioni che hanno reindirizzato il traffico verso percorsi alternativi devono ora esaminare attentamente i registri eventi per assicurarsi che non siano emerse presenze nascoste di aggressori dopo il ripristino della rete predefinita.

Cloudflare ha successivamente pubblicato un’analisi dell’incidente. L’azienda ha dichiarato che l’interruzione non era correlata ad attacchi o attività dannose. Piuttosto, era stata causata da un errore di autorizzazione in uno dei suoi database interni, che aveva generato un gran numero di voci in un file di configurazione separato per il sistema di gestione dei bot.

Il file ha raddoppiato le sue dimensioni ed è stato quindi propagato automaticamente in tutta la rete, innescando una cascata di errori. Considerando che i servizi Cloudflare sono utilizzati da circa un quinto di Internet, tali incidenti dimostrano quanto i servizi web moderni siano vulnerabili a errori isolati provenienti da un singolo provider.

La questione dell’affidamento su singoli punti di errore sta attirando ulteriore attenzione. I consulenti considerano questo incidente come un ulteriore promemoria della necessità di distribuire le funzioni di sicurezza su più zone e provider. A tal fine, suggeriscono di implementare strumenti di filtraggio, protezione DDoS e manutenzione DNS su diverse piattaforme, segmentare le applicazioni per evitare che un errore sul lato di un provider provochi una reazione a catena e monitorare regolarmente le dipendenze critiche per identificare tempestivamente l’impatto delle reti mono-fornitore.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli