A Cloudflare divulgou detalhes adicionais sobre um recente vazamento de rotas no Border Gateway Protocol (BGP) que durou 25 minutos e afetou o tráfego IPv6, causando congestionamento significativo, perda de pacotes e aproximadamente 12 Gbps de tráfego descartado.
O BGP é o protocolo responsável pelo roteamento de dados entre diferentes redes autônomas (Autonomous Systems - AS), que encaminham o tráfego até o destino por meio de redes menores na internet.
O incidente foi provocado por uma configuração incorreta acidental em um roteador e impactou não apenas clientes da Cloudflare, mas também redes externas.
“Durante o incidente em 22 de janeiro, houve um vazamento similar de rotas, no qual redistribuímos rotas de alguns de nossos peers em Miami para outros peers e provedores”, explicou a Cloudflare em comunicado.
De acordo com as definições de vazamento de rotas no RFC 7908, foi registrado um misto dos tipos 3 e 4 de vazamentos na internet.
Um vazamento de rota BGP ocorre quando um Autonomous System viola políticas de roteamento valley-free ao anunciar, indevidamente, rotas obtidas de um peer ou provedor para outro peer ou provedor.
Isso faz com que o tráfego seja enviado por caminhos não planejados, normalmente causando congestionamento, perda de pacotes ou rotas subótimas.
Quando filtros de firewall restringem o tráfego a provedores específicos, o tráfego é simplesmente descartado.
As regras valley-free definem como as rotas devem ser propagadas com base nas relações comerciais entre redes.
Quando violadas, o tráfego é direcionado para redes que não conseguem carregá-lo adequadamente, por meio de rotas mais longas ou instáveis, podendo ser descartado – como ocorreu neste caso.
Embora geralmente causem problemas de confiabilidade, esses incidentes também têm implicações de segurança, pois podem permitir que agentes não autorizados interceptem e analisem o tráfego em ataques conhecidos como BGP hijacking.
A Cloudflare indicou que a causa raiz deste vazamento foi uma mudança de política destinada a evitar que Miami anunciasse prefixos IPv6 de Bogotá.
A remoção de listas específicas de prefixos tornou a política de exportação excessivamente permissiva, permitindo que uma regra interna aceitasse todas as rotas IPv6 internas (iBGP) e as anunciasse externamente.
“Como resultado, todos os prefixos IPv6 redistribuídos internamente pela nossa backbone foram aceitos por essa política e anunciados a todos os nossos vizinhos BGP em Miami”, detalhou a empresa.
O problema foi detectado pouco depois do início, e os engenheiros da Cloudflare reverteram manualmente a configuração, pausando as automatizações e encerrando o impacto em apenas 25 minutos.
O código que causou a mudança foi revertido e a automação reativada com segurança.
A gigante da internet afirmou que este caso é muito semelhante a um incidente ocorrido em julho de 2020 e listou medidas para evitar episódios futuros.
As ações propostas incluem a adoção de controles mais rigorosos na exportação com base em comunidades BGP, verificações em pipelines CI/CD para detectar erros nas políticas, melhor detecção antecipada de problemas, conformidade com o RFC 9234 e promoção da adoção do RPKI ASPA.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...