Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Cloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’incidente, che ha avuto una durata complessiva di circa 25 minuti, si è concluso alle 09:12 con il ripristino completo dei servizi.
Secondo l’azienda, circa il 28% del traffico HTTP gestito globalmente è stato coinvolto. L’impatto ha riguardato solo clienti che utilizzavano una combinazione specifica di configurazioni, come spiegato dai tecnici.
Cloudflare ha chiarito che il disservizio non è stato collegato ad alcuna attività ostile: nessun attacco informatico, tentativo di intrusione o comportamento malevolo ha contribuito all’evento. A causare il problema è stato invece un aggiornamento introdotto per mitigare una vulnerabilità recentemente resa pubblica e legata ai componenti React Server, identificata come CVE-2025-55182.
Il disservizio è nato da una modifica al sistema di analisi dei body delle richieste HTTP, parte delle misure adottate per proteggere gli utenti di applicazioni basate su React. La modifica prevedeva l’aumento del buffer di memoria interno del Web Application Firewall (WAF) da 128 KB a 1 MB, valore che si allinea al limite predefinito nei framework Next.js.
Questa prima variazione è stata diffusa con un rollout progressivo. Durante l’implementazione, i tecnici hanno rilevato che uno strumento di test WAF interno non era compatibile con il nuovo limite. Ritenendo quel componente non necessario per il traffico reale, Cloudflare ha proceduto con una seconda modifica destinata a disabilitarlo.
È stata questa seconda modifica, distribuita con il sistema di configurazione globale – che non prevede rollout graduali – a generare la catena di eventi che ha portato agli errori HTTP 500. Il sistema ha raggiunto rapidamente ogni server della rete in pochi secondi.
A quel punto, una particolare versione del proxy FL1 si è trovata a eseguire una porzione di codice Lua contenente un bug latente. Il risultato è stato il blocco dell’elaborazione di alcune richieste e la restituzione di errori 500 da parte dei server coinvolti.
A essere interessati, riportano gli ingegneri di Cloudflare, sono stati i clienti che utilizzavano il proxy FL1 insieme al Cloudflare Managed Ruleset. Le richieste verso i siti configurati in questo modo hanno iniziato a rispondere con errori 500, con pochissime eccezioni (come alcuni endpoint di test, ad esempio /cdn-cgi/trace).
Non sono stati invece colpiti i clienti che utilizzavano configurazioni differenti o quelli serviti dalla rete Cloudflare operante in Cina.
Il problema è stato ricondotto al funzionamento del sistema di regole utilizzato dal WAF. Alcune regole, tramite l’azione “execute”, attivano la valutazione di set di regole aggiuntivi. Il sistema killswitch, utilizzato per disattivare rapidamente regole problematiche, non era mai stato applicato fino a quel momento a una regola con azione “execute“.
Quando la modifica ha disabilitato il set di test, il sistema ha saltato correttamente l’esecuzione della regola, ma non ha gestito l’assenza dell’oggetto “execute” nella fase successiva di elaborazione dei risultati. Da qui l’errore Lua che ha generato gli HTTP 500.
Cloudflare ha precisato che questo bug non esiste nel proxy FL2, scritto in Rust, grazie al diverso sistema di gestione dei tipi che evita questi scenari.
La società ha ricordato come una dinamica simile si fosse verificata il 18 novembre 2025, quando un’altra modifica non correlata causò un malfunzionamento diffuso. In seguito a quell’episodio erano stati annunciati diversi progetti per rendere più sicuri gli aggiornamenti di configurazione e ridurre l’impatto di singoli errori.
Tra le iniziative ancora in corso figurano:
Cloudflare ha ammesso che, se queste misure fossero già state pienamente operative, l’impatto dell’incidente del 5 dicembre sarebbe potuto essere più contenuto. Per il momento, l’azienda ha sospeso ogni modifica alla rete finché i nuovi sistemi di mitigazione non saranno completi.
Cloudflare ha ribadito le proprie scuse ai clienti e ha confermato la pubblicazione, entro la settimana successiva, di un’analisi completa sui progetti in corso per migliorare la resilienza dell’intera infrastruttura.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]