O gigante da internet Cloudflare relatou que seu serviço de DNS resolver, o 1.1.1.1, recentemente ficou inacessível ou teve seu desempenho reduzido para alguns de seus clientes devido a uma combinação de hijacking do Border Gateway Protocol (BGP) e um vazamento de rotas.
O incidente ocorreu na última semana e afetou 300 redes em 70 países.
Apesar destes números, a empresa afirma que o impacto foi "bastante baixo" e que, em alguns países, os usuários nem mesmo notaram.
A Cloudflare informa que às 18:51 UTC do dia 27 de junho, a Eletronet S.A.
(AS267613) começou a anunciar o endereço IP 1.1.1.1/32 para seus parceiros e provedores upstream.
Esse anúncio incorreto foi aceito por várias redes, incluindo um provedor Tier 1, que o tratou como uma rota Remote Triggered Blackhole (RTBH).
O hijack ocorreu porque o roteamento BGP favorece a rota mais específica.
O anúncio de 1.1.1.1/32 feito pela AS267613 foi mais específico do que o 1.1.1.0/24 da Cloudflare, levando as redes a encaminhar o tráfego incorretamente para a AS267613.
Consequentemente, o tráfego destinado ao resolver DNS 1.1.1.1 da Cloudflare foi blackholed/rejeitado, e, portanto, o serviço ficou indisponível para alguns usuários.
Um minuto depois, às 18:52 UTC, a Nova Rede de Telecomunicações Ltda (AS262504) vazou erroneamente 1.1.1.0/24 upstream para a AS1031, que propagou isso ainda mais, afetando o roteamento global.
Este vazamento alterou os caminhos normais de roteamento BGP, fazendo com que o tráfego destinado ao 1.1.1.1 fosse mal direcionado, agravando o problema de hijacking e causando problemas adicionais de acessibilidade e latência.
A Cloudflare identificou os problemas por volta das 20:00 UTC e resolveu o hijacking aproximadamente duas horas depois.
O vazamento de rotas foi resolvido às 02:28 UTC.
A primeira linha de resposta da Cloudflare foi interagir com as redes envolvidas no incidente, além de desabilitar as sessões de peering com todas as redes problemáticas para mitigar o impacto e prevenir a propagação futura de rotas incorretas.
A empresa explica que os anúncios incorretos não afetaram o roteamento da rede interna devido à adoção da Resource Public Key Infrastructure (RPKI), o que levou à rejeição automática das rotas inválidas.
Soluções de longo prazo apresentadas pela Cloudflare em seu relatório incluem:
- Aperfeiçoar sistemas de detecção de vazamento de rotas, incorporando mais fontes de dados e integrando pontos de dados em tempo real.
- Promover a adoção da Resource Public Key Infrastructure (RPKI) para a Validação de Origem de Rotas (ROV).
- Promover a adoção dos princípios de Mutually Agreed Norms for Routing Security (MANRS), que incluem rejeitar comprimentos de prefixo inválidos e implementar mecanismos de filtragem robustos.
- Incentivar as redes a rejeitar prefixos IPv4 maiores que /24 na Default-Free Zone (DFZ).
- Defender a implementação de objetos ASPA (atualmente em rascunho pelo IETF), que são utilizados para validar o caminho AS em anúncios BGP.
- Explorar o potencial de implementação do RFC9234 e do Discard Origin Authorization (DOA).
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...