Aggregator

本周，Cloudflare发生六年来最严重的服务中断事件。数据库访问控制权限变更触发其全球网络连锁故障，导致大量网站及在线平台近6小时无法访问。

Cloudflare全球网络是一套分布式基础设施，服务器与数据中心遍布120多个国家，提供内容分发、安全防护及性能优化服务。该网络已与全球超1.3万个网络建立连接，包括所有主流互联网服务提供商（ISP）、云服务商及企业网络。

公司首席执行官Matthew Prince在故障缓解后发布的事后分析报告中表示，此次服务中断并非由网络攻击导致。故障源于某一数据库系统的权限变更——这一变更导致数据库向“机器人管理系统”使用的“特征文件”中输出多条重复条目。

一项常规的数据库权限更新，致使Cloudflare的机器人管理系统生成了包含重复条目的超大配置文件。该文件超出系统内置大小限制，导致网络流量路由过程中相关软件崩溃。

权限变更后，数据库查询返回了重复的列元数据，使特征文件中的条目从约60个翻倍至200多个，突破了系统为防止内存无限制占用而硬编码设定的200个特征上限。

5xx 错误 HTTP 状态码在故障期间

每五分钟系统会生成一次配置文件——结果可能正常也可能存在故障，具体取决于哪些集群节点已完成更新，这导致网络在正常运行与故障状态之间反复波动。

此外，当超大文件在网络设备间传播时，机器人管理模块的Rust代码触发系统崩溃并返回5xx错误，进而导致负责流量处理的核心代理系统宕机。

随后，Cloudflare工程师定位故障根源并将问题文件替换为早期版本后，核心流量恢复正常。不久后，所有系统完全恢复运行。此次中断影响了Cloudflare的核心CDN、安全服务、Turnstile验证服务、Workers KV存储服务、控制台访问、邮件安全及身份认证服务。

Matthew Prince表示“鉴于Cloudflare在互联网生态系统中的重要性，任何系统中断都是不可接受的。”

此次中断事件是Cloudflare自2019年以来最严重的一次服务中断。以往也曾出现过控制台无法访问、新功能暂时不可用等情况，但过去六年多来，从未发生过导致大部分核心流量无法通过我们网络的中断事件。

今年6月，Cloudflare曾缓解过另一起大规模中断事件，当时导致多个地区的零信任WARP连接出现问题、身份认证服务故障，还影响了谷歌云基础设施。

10月，亚马逊也处理了一起由重大DNS故障引发的中断事件，该故障导致数百万使用其亚马逊网络服务（AWS）云计算平台的网站连接中断。

Linux服务器专用恶意软件扫描工具ImunifyAV存在远程代码执行漏洞，攻击者可利用该漏洞入侵主机环境。这款工具目前已被数千万个网站采用。

该漏洞影响AI-bolit恶意软件扫描组件的32.7.4.0版本之前的所有版本。该组件集成于Imunify360安全套件、付费版ImunifyAV+，以及免费版恶意软件扫描工具ImunifyAV中。

据安全公司Patchstack透露，该漏洞已于10月底被发现，工具开发商CloudLinux当时已发布修复补丁。目前该漏洞尚未分配CVE编号。

11月10日，开发商将该补丁反向移植到旧版本Imunify360 AV中。在最新发布的安全公告中，CloudLinux警告用户该漏洞属于“高危安全漏洞”，建议“尽快”将软件升级至32.7.4.0版本。

工具应用范围广泛

ImunifyAV是Imunify360安全套件的组成部分，主要用于虚拟主机服务商或通用Linux共享主机环境。该产品通常在主机平台层面安装，而非由终端用户直接部署。它在共享主机方案、托管式WordPress主机、cPanel/WHM服务器及Plesk服务器中应用极为普遍。

据Imunify 2024年10月公布的数据，虽然网站管理员很少直接与该工具交互，但它仍是一款无处不在的后台工具，默默为5600万个网站提供防护，且Imunify360的安装量已超过64.5万次。

漏洞成因与利用条件

该漏洞的根源在于AI-bolit组件的反混淆逻辑：当工具尝试解包恶意软件以进行扫描时，会执行从混淆PHP文件中提取的、由攻击者控制的函数名和数据。

这一问题的核心是工具使用了“call_user_func_array”函数，但未对函数名进行验证，导致攻击者可执行system、exec、shell_exec、passthru、eval等危险PHP函数。

Patchstack指出，利用该漏洞的前提是Imunify360 AV在分析环节启用主动反混淆功能——独立版AI-Bolit命令行工具（CLI）的默认配置中，该功能处于禁用状态。

但Imunify360套件中集成的扫描组件，会强制在后台扫描、按需扫描、用户发起扫描及快速扫描中保持“始终开启”反混淆功能，这恰好满足了漏洞利用的条件。

研究人员已公开一个概念验证（PoC）漏洞利用代码：在tmp目录创建一个PHP文件，当杀毒工具扫描该文件时，就会触发远程代码执行。

概念验证利用

这可能导致整个网站被入侵，若扫描工具在共享主机环境中以高权限运行，还可能引发服务器完全被接管的严重后果。

CloudLinux的修复方案新增了白名单机制，仅允许安全、确定的函数在反混淆过程中执行，从而阻止任意函数调用。

尽管开发商未发布明确警告，也未分配便于预警和追踪的CVE编号，但系统管理员仍应将软件升级至32.7.4.0版本或更高版本。

目前，官方尚未提供漏洞入侵检测方法、检测指南，也未确认该漏洞是否已被在野利用。随后，Patchstack研究人员经进一步检测发现，该漏洞的严重程度超出最初预期——存在一种更简易的利用途径，无需上传恶意软件即可发起攻击。