周二, Cloudflare的间歇性故障导致许多互联网热门网站短暂离线。部分受影响的 Cloudflare 客户暂时切换到其他平台,以确保访客仍能访问其网站。但安全专家表示,此举可能也对那些依赖 Cloudflare 拦截各种恶意流量的机构造成了一次突如其来的网络渗透测试。
11月18日美国东部时间早上6:30/世界协调时上午11:30左右,Cloudflare的状态页面显示公司正在经历“内部服务降级”。在Cloudflare服务恢复和再次中断数小时后,许多使用Cloudflare服务的网站发现他们无法迁移到其他服务商,因为Cloudflare门户网站无法访问,或者因为他们的域名系统(DNS)服务也来自Cloudflare。
然而,一些客户确实在服务中断期间成功地将他们的域名从 Cloudflare 迁移了出去。IANS 研究中心的教员Aaron Turner表示,许多这样的组织可能需要仔细查看当时的 Web 应用程序防火墙 (WAF) 日志。
Turner表示,Cloudflare的WAF能够有效过滤掉符合十大应用层攻击类型的恶意流量,包括撞库攻击、跨站脚本攻击、SQL注入、机器人攻击和API滥用。但他指出,此次服务中断或许能让Cloudflare的客户更好地了解,在没有Cloudflare帮助的情况下,他们自身的应用程序和网站防御机制可能存在哪些缺陷。
“过去,你们的开发人员可能在 SQL 注入方面比较懈怠,因为 Cloudflare 在边缘端就阻止了这类攻击,”特纳说。“也许你们在某些方面的安全质量保证措施不够完善,因为 Cloudflare 作为控制层弥补了这一点。”
特纳表示,他正在合作的一家公司发现日志量大幅增加,他们仍在努力弄清楚哪些是“真正的恶意”日志,哪些只是噪音。
特纳表示:“看起来,大约有八个小时的时间窗口,一些知名网站为了保证网站可用性,选择绕过 Cloudflare。许多公司基本上都依赖 Cloudflare 来防御OWASP Top Ten (Web 应用程序漏洞)以及各种类型的机器人攻击。在这段时间内可能发生了多大的安全隐患?任何做出这种选择的企业都需要仔细检查所有暴露的基础设施,看看在重新启用 Cloudflare 防护后,是否还有人持续进行攻击。”
特纳表示,一些网络犯罪团伙可能注意到,他们通常跟踪的某个在线商家在服务中断期间停止使用 Cloudflare 的服务。
“假设你是一名攻击者,试图逐步渗透目标网站,但你之前觉得 Cloudflare 是个障碍,”他说道。“然后你通过 DNS 更改发现,由于 Cloudflare 服务中断,目标网站已经从其网络堆栈中移除了 Cloudflare。现在,由于保护层已不复存在,你将发起一系列新的攻击。”
位于弗吉尼亚州麦克莱恩的Replica Cyber 公司的高级产品营销经理妮可·斯科特称昨天的故障是“一次免费的桌面演习,无论你是否打算进行演习”。
斯科特在领英上发帖称:“那几个小时是对贵组织如何绕过自身控制平面以及影子IT如何在时间压力下滋生的一次实战压力测试。没错,看看在安全防护薄弱的情况下,流量是如何涌入的。但也要认真审视贵组织内部的行为。”
Scott表示,希望从Cloudflare服务中断事件中获取安全洞察的组织应该扪心自问:
1. 哪些功能被关闭或绕过(WAF、机器人保护、地理位置限制),以及关闭或绕过了多长时间?
2. 进行了哪些紧急 DNS 或路由更改,以及谁批准了这些更改?
3. 为了避免网络中断,人们是否将工作转移到个人设备、家庭 Wi-Fi 或未经授权的软件即服务提供商?
4. 是否有人“暂时”开通了新的服务、隧道或供应商账户?
5. 是否有计划撤销这些变更,还是这些变更现在是永久性的权宜之计?
6. 对于下一次事件,是否有预先制定的备用方案,而不是分散的即兴应对?
Cloudflare 在周二晚间发布的一份事后分析报告中表示,此次中断并非由任何类型的网络攻击或恶意活动直接或间接造成。
Cloudflare 首席执行官Matthew Prince写道:“问题并非由系统本身引起,而是由我们数据库系统权限的更改触发,导致数据库向我们的机器人管理系统使用的‘特征文件’输出了多个条目。该特征文件的大小因此翻了一番。随后,这个超出预期大小的特征文件被传播到我们网络中的所有机器。”
Cloudflare 估计大约 20% 的网站使用其服务,而现代网络很大程度上依赖于包括AWS和Azure在内的少数其他云提供商,因此即使其中一个平台出现短暂中断,也可能给许多组织造成单点故障。
IT咨询公司Quod Orbis的首席执行官Martin Greenfield表示,周二的故障再次提醒人们,许多组织可能把太多的鸡蛋放在一个篮子里。
格林菲尔德建议:“有几项切实可行的改进措施早就应该实施了。拆分你的系统。将Web应用防火墙(WAF)和分布式拒绝服务(DDoS)防护部署到多个区域。使用多供应商DNS服务。对应用程序进行分段,避免单个供应商的故障引发连锁反应。并持续监控各项控制措施,以检测对单一供应商的依赖。”
原文: https://krebsonsecurity.com/2025/11/the-cloudflare-outage-may-be-a-security-roadmap/