Вы отключали Cloudflare во время сбоя? Срочно проверьте логи на предмет взлома

Cloudflare отказ инфраструктура WAF DNS бот безопасность
Вы отключали Cloudflare во время сбоя? Срочно проверьте логи на предмет взлома
Cloudflare отказ инфраструктура WAF DNS бот безопасность

Один сбой может стать дорожной картой безопасности.

image

Крупный сбой в инфраструктуре Cloudflare стал для множества компаний неожиданной проверкой прочности собственных систем защиты. 18 ноября перебои в работе сервисов компании несколько раз выводили из строя сайты по всему миру, а часть клиентов попыталась временно уйти с платформы, чтобы сохранить доступность ресурсов. Этот вынужденный манёвр обернулся ещё и тем, что веб-приложения на несколько часов потеряли привычный фильтр вредоносного трафика, который Cloudflare обычно останавливает на границе сети.

Проблемы начались около 6:30 EST (11:30 UTC), когда на странице статуса появилось уведомление о деградации внутренних сервисов. Через несколько часов ресурсы то оживали, то снова становились недоступны. Ситуацию осложнило то, что портал Cloudflare часто не открывался, а многие домены одновременно полагались и на DNS-обслуживание компании, из-за чего переход к альтернативным решениям оказался технически затруднён. Несмотря на это, некоторые владельцы сайтов всё-таки сменили маршрутизацию, и именно эта попытка обеспечивать доступность без опоры на защитный контур Cloudflare сделала их инфраструктуру более заметной для атакующих.

Сторонние специалисты отмечают, что платформе удаётся эффективно гасить самые распространённые типы атак уровня приложений, включая перебор учётных данных, внедрение SQL-инъекций, попытки обхода проверок в API и многочисленные сценарии автоматизированного трафика. Поэтому внезапная потеря этой прослойки выявила неочевидные слабые места — от пропущенных правил в локальных средствах защиты до давних компромиссов в проверках на стороне приложений. В одном из случаев рост объёма логов оказался настолько резким, что компания до сих пор разбирает, какие события были реальными попытками проникновения, а какие представляли собой шум.

Аналитики подчёркивают, что в период, когда часть крупных сайтов была вынуждена работать без Cloudflare, любой наблюдатель мог заметить изменения в DNS-записях и понять, что защитный рубеж исчез. Для криминальных группировок такие периоды выглядят как шанс провести атаки, которые раньше блокировались на периметре, — особенно если цель уже находилась под наблюдением. Поэтому организациям, переключавшим трафик на альтернативные маршруты, теперь важно внимательно проверить журналы событий и удостовериться, что после восстановления штатной схемы не появилось скрытых точек присутствия злоумышленников.

На фоне обсуждения внешних рисков часть экспертов предлагает не ограничиваться анализом внешнего трафика. Внутренние действия сотрудников в момент сбоя способны показать, какие процессы могут давать сбои под давлением времени. Это касается отключённых систем фильтрации, спорных решений по маршрутизации, использования личных устройств или сервисов, не входящих в утверждённый список, а также временно развёрнутых инструментов и сервисов, которые легко могут остаться в инфраструктуре дольше запланированного. Такой стресс-тест, пусть и незапланированный, показывает, насколько организация готова к отказу одного из ключевых поставщиков.

Позднее Cloudflare опубликовала разбор инцидента. Компания указала, что сбой не был связан с атаками или злонамеренными действиями. Причиной стала ошибка в разрешениях одной из внутренних баз данных, которая привела к появлению большого числа записей в отдельном файле конфигурации для системы управления ботами. Размер файла удвоился, после чего он был автоматически распространён по всей сети, вызвав каскад сбоев. Учитывая, что сервисами Cloudflare пользуется примерно пятая часть интернета, подобные инциденты демонстрируют, насколько современные веб-сервисы уязвимы к точечным ошибкам одного поставщика.

Дополнительное внимание привлекает вопрос зависимости от единых точек отказа. Консультанты в области ИТ-рисков считают произошедшее очередным напоминанием о необходимости распределять функции защиты между несколькими зонами и провайдерами. Для этого предлагают внедрить средства фильтрации, защиту от DDoS и DNS-обслуживание по разным платформам, сегментировать приложения так, чтобы сбой на стороне одного из поставщиков не приводил к цепной реакции, а также регулярно отслеживать критичные зависимости, чтобы вовремя выявлять влияние монопоставщиков.