Via Venezia 89 - Rapallo (GE) +39 0185 1831555

Blog

Il Martedi Nero di Cloudflare 18/11/2025
BLOG
18-11-2025

Il Martedi Nero di Cloudflare 18/11/2025

Analisi tecnica dell’incidente e dettagli del post-mortem
Il 18 novembre 2025 alle 11:20 UTC, Cloudflare ha registrato un’interruzione globale che ha compromesso il funzionamento di una parte significativa della sua infrastruttura edge. Il traffico ha iniziato a essere rifiutato dal core proxy, restituendo errori HTTP 5xx, con impatti estesi su CDN, Access, Turnstile, Workers e altri servizi critici.

Cloudflare ha confermato con trasparenza che non si è trattato di un attacco informatico, ma di un errore interno originato da una modifica alle autorizzazioni di un cluster database ClickHouse.

 
Causa tecnica dell’incidente
L’evento è stato innescato da una variazione dei permessi in un cluster ClickHouse, che ha prodotto – in modo non previsto – un feature file corrotto utilizzato dal sistema di Bot Management.

Dettagli del file difettoso:

  • Il file conteneva le feature utilizzate dai modelli ML anti-bot.
  • A causa di un bug, ha raddoppiato la propria dimensione, includendo centinaia di righe duplicate.
  • Il proxy core (FL / FL2) impone un limite rigido di 200 feature preallocabili.
  • Il file generato ne conteneva oltre il doppio, provocando un panic del modulo Bot Management → immediata interruzione dell’elaborazione delle richieste.

Essendo un file distribuito automaticamente ogni 5 minuti su tutta la rete Cloudflare, il problema si è propagato quasi istantaneamente a livello globale.

Perché gli errori sembravano “fluttuare”
Nei primi minuti:

  • alcune macchine del cluster generavano file validi, altre file corrotti,
  • i file venivano propagati ovunque con meccanismi distribuiti molto rapidi.

Risultato: fasi di apparente ripresa seguite da nuovi errori → comportamento simile a un attacco DDoS intermittente, ipotesi effettivamente sospettata dal team all’inizio.
In parallelo, un evento sfortunato ha complicato la diagnosi: anche il sito di stato di Cloudflare risultava irraggiungibile (pur essendo hostato esternamente), alimentando paura di un attacco coordinato.
 
Ripristino e intervento manuale

  • 14:30 UTC – Cloudflare identifica la root cause e blocca la propagazione del file corrotto.
  • Viene distribuito manualmente un file pulito e viene forzato il riavvio del core proxy.
  • Successivamente inizia il processo di drenaggio e normalizzazione delle code accumulate nei vari servizi.
  • 17:06 UTC – L’infrastruttura Edge torna pienamente operativa.
      

Dichiarazione ufficiale di Cloudflare
Cloudflare si è scusata pubblicamente, sottolineando la gravità dell’impatto:

“Data l’importanza di Cloudflare nell’ecosistema Internet, qualsiasi interruzione dei nostri sistemi è inaccettabile. Ogni minuto in cui la rete non ha potuto instradare il traffico è doloroso per tutto il team. Sappiamo di aver deluso i nostri clienti e Internet oggi.”
Sono previsti ulteriori aggiornamenti tecnici e un piano di mitigazione più dettagliato.

Link del blog di Cloudflare: https://blog.cloudflare.com/18-november-2025-outage/

cloudflare-down-oggi-18-novembre-internet-0.jpg 17635385570815084949288441011129-1024x498.jpg BLOG-3079_2.jpg