ทาง Cloudflare ได้ออกสรุปเหตุการณ์ชี้แจงเพื่อยุติการคาดเดาเกี่ยวกับการโจมตีทางไซเบอร์ หรือเหตุการณ์ BGP hijack ที่ทำให้ service ของ Resolver 1.1.1.1 หยุดให้บริการเมื่อเร็ว ๆ นี้ โดยระบุว่า ปัญหานี้เกิดจาก misconfiguration ภายใน
เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 14 กรกฎาคม และส่งผลกระทบต่อผู้ใช้บริการส่วนใหญ่ทั่วโลก ทำให้ไม่สามารถใช้บริการอินเทอร์เน็ตได้ในหลายกรณี
Cloudflare ระบุในประกาศว่า สาเหตุหลักคือข้อผิดพลาดในการ configuration ภายใน และไม่ใช่ผลจากการโจมตี หรือการถูก BGP hijack
แถลงการณ์นี้เกิดขึ้นหลังจากที่ผู้ใช้รายงานบนโซเชียลมีเดียว่า การหยุดให้บริการของ Cloudflare มีสาเหตุมาจากการถูก BGP hijack
การหยุดให้บริการทั่วโลก
บริการ DNS Resolver สาธารณะ 1.1.1.1 ของ Cloudflare เปิดตัวในปี 2018 โดยให้คำมั่นว่าจะให้บริการเชื่อมต่ออินเทอร์เน็ตที่เป็นส่วนตัว และรวดเร็วแก่ผู้ใช้ทั่วโลก
ทางบริษัทอธิบายว่า เบื้องหลังการหยุดให้บริการมีสาเหตุมาจากการเปลี่ยนแปลง configuration สำหรับ Data Localization Suite (DLS) ในอนาคต ซึ่งดำเนินการเมื่อวันที่ 6 มิถุนายน โดยเชื่อมโยง IP prefix ของบริการ Resolver 1.1.1.1 เข้ากับระบบ DLS ที่ยังไม่พร้อมใช้งานในระบบจริง (non-production)
เมื่อวันที่ 14 กรกฎาคม เวลา 21:48 UTC มีการอัปเดตใหม่ที่เพิ่มตำแหน่งทดสอบเข้าไปใน DLS service ที่ยังไม่ใช้งาน ซึ่งการอัปเดตนี้ได้ refreshing การ configuration เครือข่ายทั่วโลก และนำการ configuration ที่ไม่ถูกต้องมาใช้งาน
ส่งผลให้ prefix ของ Resolver 1.1.1.1 ถูกลบออกจากศูนย์ข้อมูลที่ใช้งานจริงของ Cloudflare และถูกเปลี่ยนเส้นทางไปยัง offline location ส่งผลให้ไม่สามารถเข้าถึงบริการได้ทั่วโลก
ไม่ถึงสี่นาทีต่อมา DNS traffic ที่ส่งไปยัง Resolver 1.1.1.1 เริ่มลดลง และภายในเวลา 22:01 UTC Cloudflare ก็ตรวจพบเหตุการณ์ดังกล่าว และเปิดเผยข้อมูลต่อสาธารณะ
Misconfiguration ได้รับการแก้ไขแล้วในเวลา 22:20 น. UTC และ Cloudflare ได้เริ่ม re-advertising BGP prefixes ที่ถูกยกเลิกไปอีกครั้ง และในที่สุดก็สามารถกู้คืนการให้บริการเต็มรูปแบบในทุกพื้นที่ได้สำเร็จเมื่อเวลา 22:54 UTC
เหตุการณ์นี้ส่งผลกระทบต่อ IP หลายช่วง เช่น
- 1.1.1.1 (main public DNS resolver)
- 1.0.0.1 (secondary public DNS resolver)
- 2606:4700:4700::1111 และ 2606:4700:4700::1001 (DNS resolver สำหรับ IPv6 ทั้ง main และ secondary รวมถึงช่วง IP อื่น ๆ ที่รองรับการกำหนดเส้นทาง (routing) ภายในโครงสร้างพื้นฐานของ Cloudflare
เมื่อพิจารณาถึงผลกระทบของเหตุการณ์ ต่อโปรโตคอลต่าง ๆ พบว่าปริมาณ queries ที่ใช้ UDP, TCP และ DNS-over-TLS (DoT) ไปยัง IP address ข้างต้นลดลงอย่างมีนัยสำคัญ อย่างไรก็ตาม การรับส่งข้อมูลผ่าน DNS-over-HTTPS (DoH) แทบไม่ได้รับผลกระทบ เนื่องจากใช้การกำหนดเส้นทางที่แตกต่างออกไปผ่านโดเมน cloudflare-dns.com
ขั้นตอนต่อไป
Cloudflare ยอมรับว่า หากมีการใช้ระบบ performed progressive rollout ความผิดพลาดจากการตั้งค่านี้อาจถูกแก้ไขได้ตั้งแต่ต้น โดยระบุเพิ่มเติมว่า การหยุดให้บริการครั้งนี้เกิดจากการใช้ระบบรุ่นเก่า (legacy systems)
ด้วยเหตุนี้ Cloudflare จึงมีแผนจะเลิกใช้งานระบบรุ่นเก่า และเร่งการย้ายไปยังระบบรุ่นใหม่ที่มีตั้งค่าในรูปแบบ abstract service topologies แทนการกำหนดค่าแบบ static IP bindings ซึ่งจะช่วยให้สามารถทำงานได้อย่างเสถียรมากขึ้น และสามารถตรวจสอบสถานะการทำงานในแต่ละขั้นตอน และสามารถ rollbacks การเปลี่ยนแปลงได้อย่างรวดเร็วในกรณีที่เกิดปัญหา
นอกจากนี้ Cloudflare ยังระบุว่า misconfiguration ดังกล่าว สามารถผ่านการตรวจสอบแบบ peer review ได้ เนื่องจากเอกสารภายในที่เกี่ยวกับ service topologies และ routing behavior ไม่สมบูรณ์ ซึ่งบริษัทมีแผนจะปรับปรุงในส่วนนี้เช่นกัน
ที่มา : bleepingcomputer