Chi ha staccato Cloudflare durante l’interruzione ha messo a rischio la sua infrastruttura

Redazione RHC : 21 Novembre 2025 15:45

Un’importante interruzione dell’infrastruttura di Cloudflare ha messo inaspettatamente alla prova la solidità del cloud e dei suoi sistemi di sicurezza per molte aziende. Il 18 novembre, le interruzioni del servizio hanno causato la disconnessione di siti web in tutto il mondo più volte e alcuni clienti hanno tentato di abbandonare temporaneamente la piattaforma per mantenere la disponibilità delle risorse.

Questa manovra forzata ha anche comportato la perdita per diverse ore da parte delle applicazioni web del tradizionale filtro del traffico dannoso, che Cloudflare in genere blocca ai margini della rete.

I problemi sono iniziati intorno alle 6:30 EST (11:30 UTC), quando sulla pagina di stato è apparsa una notifica relativa al degrado dei servizi interni. Nelle ore successive, le risorse sono tornate online, per poi tornare nuovamente non disponibili. La situazione è stata complicata dal fatto che il portale di Cloudflare era frequentemente inattivo e molti domini si affidavano anche al servizio DNS dell’azienda , rendendo tecnicamente difficile il passaggio a soluzioni alternative.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ciononostante, alcuni proprietari di siti web hanno comunque modificato il routing, ed è stato questo tentativo di garantire la disponibilità senza fare affidamento sul perimetro di sicurezza di Cloudflare a rendere la loro infrastruttura più vulnerabile agli aggressori.

Esperti terzi sottolineano che la piattaforma mitiga efficacemente i tipi più comuni di attacchi a livello applicativo , tra cui attacchi brute-force alle credenziali, attacchi SQL injection, tentativi di bypass dei controlli API e numerosi scenari di traffico automatizzato. Pertanto, l’improvvisa perdita di questo livello ha rivelato vulnerabilità nascoste, nei controlli di sicurezza locali a compromissioni di lunga data nei controlli lato applicazione.

In un caso, l’aumento del volume dei log è stato così significativo che l’azienda sta ancora cercando di determinare quali eventi fossero veri e propri tentativi di intrusione e quali fossero solo rumore.

Gli analisti sottolineano che durante il periodo in cui alcuni importanti siti web sono stati costretti a operare senza Cloudflare, qualsiasi osservatore avrebbe potuto notare cambiamenti nei record DNS e rendersi conto che la linea difensiva era scomparsa.

Per i gruppi criminali, tali periodi rappresentano un’opportunità per lanciare attacchi precedentemente bloccati a livello perimetrale, soprattutto se il bersaglio era già sotto sorveglianza. Pertanto, le organizzazioni che hanno reindirizzato il traffico verso percorsi alternativi devono ora esaminare attentamente i registri eventi per assicurarsi che non siano emerse presenze nascoste di aggressori dopo il ripristino della rete predefinita.

Cloudflare ha successivamente pubblicato un’analisi dell’incidente. L’azienda ha dichiarato che l’interruzione non era correlata ad attacchi o attività dannose. Piuttosto, era stata causata da un errore di autorizzazione in uno dei suoi database interni, che aveva generato un gran numero di voci in un file di configurazione separato per il sistema di gestione dei bot.

Il file ha raddoppiato le sue dimensioni ed è stato quindi propagato automaticamente in tutta la rete, innescando una cascata di errori. Considerando che i servizi Cloudflare sono utilizzati da circa un quinto di Internet, tali incidenti dimostrano quanto i servizi web moderni siano vulnerabili a errori isolati provenienti da un singolo provider.

La questione dell’affidamento su singoli punti di errore sta attirando ulteriore attenzione. I consulenti considerano questo incidente come un ulteriore promemoria della necessità di distribuire le funzioni di sicurezza su più zone e provider. A tal fine, suggeriscono di implementare strumenti di filtraggio, protezione DDoS e manutenzione DNS su diverse piattaforme, segmentare le applicazioni per evitare che un errore sul lato di un provider provochi una reazione a catena e monitorare regolarmente le dipendenze critiche per identificare tempestivamente l’impatto delle reti mono-fornitore.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli