Cloudflare 2 de julio de 2019

Cloudflare — CPU Exhaustion por Regex Catastrófica en WAF

minutos

resource-exhaustion

causa raíz

Timeline del incidente

T+0 · Cloudflare Automation/WAF Team

Despliegue de una nueva regla WAF con una expresión regular (regex) mal optimizada.

T+1min · Sistema de monitoreo

Incremento rápido y generalizado del uso de CPU en los servidores edge de Cloudflare a nivel global.

T+2min · Sistema de alertas

Alertas de alta utilización de CPU y degradación del servicio en la red global de Cloudflare.

T+5min · Equipo de Operaciones/SRE

Confirmación de un incidente de impacto global, afectando a millones de sitios web.

T+10min · Equipo de Ingeniería/WAF

Identificación de la regla WAF recién desplegada como la causa probable del aumento de CPU.

T+15min · Equipo de Ingeniería/SRE

Decisión de deshabilitar la regla WAF problemática a nivel global.

T+20min · Cloudflare Automation

Inicio de la reversión/desactivación de la regla WAF.

T+27min · Sistema de monitoreo

Recuperación completa del servicio a medida que la utilización de CPU vuelve a niveles normales.

Análisis técnico

El incidente de Cloudflare del 2 de julio de 2019 fue causado por el despliegue de una regla WAF con una expresión regular (regex) catastrófica. La regex, diseñada para detectar patrones específicos, contenía un patrón como `(?:(?:"|[^"]+)+)` que, al ser evaluado contra ciertas entradas maliciosas o inesperadas, exhibía un comportamiento conocido como 'backtracking catastrófico'. Esto significa que el motor de regex intentaba un número exponencialmente alto de combinaciones para encontrar una coincidencia, consumiendo una cantidad desproporcionada de ciclos de CPU.

El fallo se propagó globalmente porque la regla WAF se desplegó en todos los servidores edge de Cloudflare. Cada servidor edge, al procesar el tráfico de los clientes, intentaba evaluar esta regex. Dado que no existían límites de CPU por worker o un sandbox de ejecución para las regex, un solo worker podía consumir el 100% de la CPU del core asignado, y eventualmente, de todo el servidor. La naturaleza global del despliegue y la falta de aislamiento de recursos permitieron que un problema localizado en la lógica de una regla se convirtiera en una interrupción de servicio a escala mundial.

Las salvaguardas que fallaron incluyen la ausencia de un mecanismo de 'CPU throttling' o 'resource limits' para la ejecución de regex o workers individuales. No había un 'circuit breaker' que detectara el consumo excesivo de recursos por una regla específica y la deshabilitara automáticamente o la ejecutara en un entorno aislado. Además, el proceso de 'testing' y 'validation' de las reglas WAF no detectó este comportamiento catastrófico antes del despliegue a producción, posiblemente porque las pruebas no incluían casos extremos o 'edge cases' diseñados para explotar el backtracking de regex. La falta de un 'canary deployment' o un despliegue por fases también contribuyó a la propagación instantánea del problema a toda la infraestructura.

Remediaciones y action items

✓ Implementación de límites de CPU por worker y por regla WAF para prevenir el consumo excesivo de recursos.
✓ Desarrollo de un sistema de 'sandboxing' para la ejecución de expresiones regulares, aislando su impacto en el sistema.
✓ Mejora de las herramientas de análisis estático y dinámico de regex para detectar patrones catastróficos antes del despliegue.
✓ Establecimiento de un proceso de 'canary deployment' para las reglas WAF, permitiendo un despliegue gradual y monitoreado.
✓ Implementación de un 'circuit breaker' automático que deshabilita reglas WAF que causan un consumo excesivo de recursos.

Lecciones para arquitectos

→ Implementar límites de recursos (CPU, memoria) para componentes críticos o código de usuario/configuración.
→ Utilizar 'sandboxing' o aislamiento para ejecutar código o configuraciones potencialmente peligrosas.
→ Realizar 'testing' exhaustivo, incluyendo 'fuzzing' y 'edge cases', para configuraciones y lógica crítica.
→ Adoptar 'canary deployments' y 'progressive rollouts' para minimizar el impacto de fallos en la configuración o el código.
→ Diseñar sistemas con 'circuit breakers' y 'fail-safes' que puedan deshabilitar automáticamente componentes problemáticos.

compartir: X / Twitter LinkedIn WhatsApp