Chi ha staccato Cloudflare durante l’interruzione ha messo a rischio la sua infrastruttura

Un’importante interruzione dell’infrastruttura di Cloudflare ha messo inaspettatamente alla prova la solidità del cloud e dei suoi sistemi di sicurezza per molte aziende. Il 18 novembre, le interruzioni del servizio hanno causato la disconnessione di siti web in tutto il mondo più volte e alcuni clienti hanno tentato di abbandonare temporaneamente la piattaforma per mantenere la disponibilità delle risorse.

Questa manovra forzata ha anche comportato la perdita per diverse ore da parte delle applicazioni web del tradizionale filtro del traffico dannoso, che Cloudflare in genere blocca ai margini della rete.

I problemi sono iniziati intorno alle 6:30 EST (11:30 UTC), quando sulla pagina di stato è apparsa una notifica relativa al degrado dei servizi interni. Nelle ore successive, le risorse sono tornate online, per poi tornare nuovamente non disponibili. La situazione è stata complicata dal fatto che il portale di Cloudflare era frequentemente inattivo e molti domini si affidavano anche al servizio DNS dell’azienda , rendendo tecnicamente difficile il passaggio a soluzioni alternative.

Ciononostante, alcuni proprietari di siti web hanno comunque modificato il routing, ed è stato questo tentativo di garantire la disponibilità senza fare affidamento sul perimetro di sicurezza di Cloudflare a rendere la loro infrastruttura più vulnerabile agli aggressori.

Esperti terzi sottolineano che la piattaforma mitiga efficacemente i tipi più comuni di attacchi a livello applicativo , tra cui attacchi brute-force alle credenziali, attacchi SQL injection, tentativi di bypass dei controlli API e numerosi scenari di traffico automatizzato. Pertanto, l’improvvisa perdita di questo livello ha rivelato vulnerabilità nascoste, nei controlli di sicurezza locali a compromissioni di lunga data nei controlli lato applicazione.

In un caso, l’aumento del volume dei log è stato così significativo che l’azienda sta ancora cercando di determinare quali eventi fossero veri e propri tentativi di intrusione e quali fossero solo rumore.

Gli analisti sottolineano che durante il periodo in cui alcuni importanti siti web sono stati costretti a operare senza Cloudflare, qualsiasi osservatore avrebbe potuto notare cambiamenti nei record DNS e rendersi conto che la linea difensiva era scomparsa.

Per i gruppi criminali, tali periodi rappresentano un’opportunità per lanciare attacchi precedentemente bloccati a livello perimetrale, soprattutto se il bersaglio era già sotto sorveglianza. Pertanto, le organizzazioni che hanno reindirizzato il traffico verso percorsi alternativi devono ora esaminare attentamente i registri eventi per assicurarsi che non siano emerse presenze nascoste di aggressori dopo il ripristino della rete predefinita.

Cloudflare ha successivamente pubblicato un’analisi dell’incidente. L’azienda ha dichiarato che l’interruzione non era correlata ad attacchi o attività dannose. Piuttosto, era stata causata da un errore di autorizzazione in uno dei suoi database interni, che aveva generato un gran numero di voci in un file di configurazione separato per il sistema di gestione dei bot.

Il file ha raddoppiato le sue dimensioni ed è stato quindi propagato automaticamente in tutta la rete, innescando una cascata di errori. Considerando che i servizi Cloudflare sono utilizzati da circa un quinto di Internet, tali incidenti dimostrano quanto i servizi web moderni siano vulnerabili a errori isolati provenienti da un singolo provider.

La questione dell’affidamento su singoli punti di errore sta attirando ulteriore attenzione. I consulenti considerano questo incidente come un ulteriore promemoria della necessità di distribuire le funzioni di sicurezza su più zone e provider. A tal fine, suggeriscono di implementare strumenti di filtraggio, protezione DDoS e manutenzione DNS su diverse piattaforme, segmentare le applicazioni per evitare che un errore sul lato di un provider provochi una reazione a catena e monitorare regolarmente le dipendenze critiche per identificare tempestivamente l’impatto delle reti mono-fornitore.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.