Cloudflare ได้เปิดเผยรายละเอียดเกี่ยวกับการรั่วไหลของเส้นทาง Border Gateway Protocol (BGP) ที่กินเวลานาน 25 นาที ซึ่งส่งผลกระทบต่อทราฟฟิก IPv6 ทำให้เกิดการติดขัด การสูญหายของแพ็กเก็ต และทราฟฟิกที่ถูกทิ้งไปประมาณ 12 Gbps เหตุการณ์นี้เกิดจากการตั้งค่าที่ผิดพลาดโดยไม่ได้ตั้งใจบนเราเตอร์ของ Cloudflare และส่งผลกระทบต่อเครือข่ายภายนอกนอกเหนือจากลูกค้าของ Cloudflare.
Severity: สูง
System Impact:
- IPv6 traffic
- Border Gateway Protocol (BGP) system
- Cloudflare network
- External networks (peers and providers)
- Routers
- Internet traffic routing
Technical Attack Steps:
- มีการเปลี่ยนแปลงนโยบายบนเราเตอร์ของ Cloudflare โดยมีวัตถุประสงค์เพื่อป้องกันไม่ให้ Miami โฆษณา IPv6 prefixes ของ Bogotá
- การลบรายการ prefix ที่เฉพาะเจาะจงในการเปลี่ยนแปลงนี้ทำให้นโยบายการส่งออกอนุญาตมากเกินไป (overly permissive)
- นโยบายที่อนุญาตมากเกินไปนี้ทำให้การจับคู่ประเภทเส้นทางภายในยอมรับเส้นทาง IPv6 ภายใน (iBGP) ทั้งหมด
- เส้นทาง IPv6 ภายในเหล่านี้จึงถูกโฆษณาไปยังเพื่อนบ้าน BGP ทั้งหมดของ Cloudflare ใน Miami โดยไม่ได้ตั้งใจ
- สิ่งนี้นำไปสู่การรั่วไหลของเส้นทาง BGP ซึ่งทำให้ทราฟฟิกถูกส่งผ่านเครือข่ายที่ไม่คาดว่าจะรับส่ง ส่งผลให้เกิดความติดขัด การสูญหายของแพ็กเก็ต และทราฟฟิกถูกทิ้ง
Recommendations:
Short Term:
- วิศวกรของ Cloudflare ได้ยกเลิกการตั้งค่าด้วยตนเองและหยุดการทำงานอัตโนมัติ เพื่อหยุดการรั่วไหลภายใน 25 นาที
Long Term:
- เพิ่มการป้องกันการส่งออกตามชุมชนที่เข้มงวดมากขึ้น (stricter community-based export safeguards)
- นำการตรวจสอบ CI/CD สำหรับข้อผิดพลาดนโยบายมาใช้
- ปรับปรุงกลไกการตรวจจับเบื้องต้นให้ดีขึ้น
- ตรวจสอบความถูกต้องของ RFC 9234
- ส่งเสริมการนำ RPKI ASPA มาใช้
Share this content: