Sequestro de BGP causa interrupção no serviço da Cloudflare

Patch Tuesday Microsoft 118 vulnerabilidades

A Cloudflare relatou que seu serviço de resolvedor de DNS, 1.1.1.1, esteve recentemente inacessível ou degradado para alguns de seus clientes devido a uma combinação de sequestro do Protocolo de Gateway de Fronteira (BGP) e um vazamento de rota. O incidente ocorreu na semana passada e afetou 300 redes em 70 países. Apesar desses números, a empresa afirma que o impacto foi “bastante baixo” e que, em alguns países, os usuários nem perceberam o problema.

Detalhes do Incidente

A Cloudflare informou que às 18:51 UTC do dia 27 de junho, a Eletronet S.A. (AS267613) começou a anunciar o endereço IP 1.1.1.1/32 para seus pares e provedores upstream. Este anúncio incorreto foi aceito por várias redes, incluindo um provedor Tier 1, que o tratou como uma rota de Blackhole Remotamente Acionada (RTBH). O sequestro ocorreu porque o roteamento BGP favorece a rota mais específica. O anúncio do AS267613 de 1.1.1.1/32 foi mais específico do que o da Cloudflare de 1.1.1.0/24, levando as redes a rotearem o tráfego incorretamente para o AS267613. Consequentemente, o tráfego destinado ao resolvedor DNS 1.1.1.1 da Cloudflare foi rejeitado, tornando o serviço indisponível para alguns usuários.
Um minuto depois, às 18:52 UTC, a Nova Rede de Telecomunicações Ltda (AS262504) erroneamente vazou a rota 1.1.1.0/24 para a AS1031, que a propagou ainda mais, afetando o roteamento global. Este vazamento alterou os caminhos normais de roteamento BGP, fazendo com que o tráfego destinado a 1.1.1.1 fosse redirecionado incorretamente, agravando o problema do sequestro e causando problemas adicionais de alcance e latência.
A Cloudflare identificou os problemas por volta das 20:00 UTC e resolveu o sequestro aproximadamente duas horas depois. O vazamento de rota foi resolvido às 02:28 UTC.

Esforço de Remediação

A primeira linha de resposta da Cloudflare foi engajar as redes envolvidas no incidente, além de desativar as sessões de peering com todas as redes problemáticas para mitigar o impacto e impedir a propagação adicional das rotas incorretas. A empresa explicou que os anúncios incorretos não afetaram o roteamento interno da rede devido à adoção da Infraestrutura de Chave Pública de Recursos (RPKI), que levou à rejeição automática das rotas inválidas.

Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Compartilhe a postagem:

Posts relacionados

Assine nossa newsletter