Cloudflare: l'incidente che ha causato problemi di risoluzione DNS

Contribute to spreading the culture of prevention!
Support our cause with a small donation by helping us raise awareness among users and companies about cyber threats and defense solutions.

Nel corso della mattinata del 4 ottobre 2023, il provider di servizi DNS Cloudflare ha sperimentato un errore di risoluzione DNS che ha compromesso l'accesso a Internet per molti utenti. L'errore, che è durato dalle 07:00 alle 11:00 UTC, ha causato risposte di errore (SERVFAIL) per alcune query DNS valide inviate tramite l'indirizzo IP 1.1.1.1 o attraverso prodotti come WARP, Zero Trust o risolutori DNS di terze parti che utilizzano 1.1.1.1. Questo incidente è stato causato da un errore interno del software di Cloudflare e non da un attacco esterno.

Background sul sistema DNS

Per comprendere l'entità dell'incidente, è importante comprendere il funzionamento del sistema di Nomi a Dominio (DNS). Ogni dominio esiste all'interno di una zona DNS, che è un insieme di nomi di dominio e di host controllati insieme. Ad esempio, Cloudflare è responsabile del dominio cloudflare.com, che è considerato parte della zona "cloudflare.com". Al di sopra delle varie zone di dominio, vi è la zona radice, che contiene le informazioni su come raggiungere le singole zone di dominio. La zona radice è critica per risolvere tutti gli altri nomi di dominio. Per garantire l'integrità e l'autenticità delle informazioni contenute nella zona radice, essa è firmata con DNSSEC, un sistema di firma digitale per il DNS.

La causa dell'errore di Cloudflare

La causa dell'incidente di Cloudflare risiede in un cambio pianificato nella gestione della zona radice che ha introdotto un nuovo tipo di record chiamato ZONEMD. Il problema si è verificato a causa di un errore nel parser del record ZONEMD da parte dei resolver DNS di Cloudflare. Questo ha causato il mancato utilizzo delle nuove versioni della zona radice nei resolver di Cloudflare. Quando le firme DNSSEC della versione della zona radice risalente al 21 settembre hanno raggiunto la loro scadenza il 4 ottobre, i resolver di Cloudflare non sono riusciti a convalidare le firme DNSSEC e hanno iniziato a restituire risposte di errore (SERVFAIL) agli utenti. L'impatto dell'errore non è stato distribuito uniformemente ma è stato concentrato in alcuni dei più grandi data center di Cloudflare.

Misure di prevenzione e miglioramento

Cloudflare ha preso l'incidente molto seriamente ed è già al lavoro per prevenire futuri problemi. Alcune delle azioni intraprese includono un miglioramento della visibilità sullo stato della zona radice, una ridistribuzione interna più sicura della zona radice, un miglioramento dei test e un'architettura più resiliente che utilizzi copie obsolete della zona radice solo per un periodo limitato di tempo. L'obiettivo di Cloudflare è quello di assicurare la massima disponibilità dei propri servizi e di garantire che gli utenti non siano più colpiti da errori simili. Infine, l'azienda si scusa per l'incidente e prende molto sul serio la fiducia dei propri clienti e degli utenti finali.