Cloudflare ha vissuto oggi una giornata da incubo che ha messo in luce quanto possa essere delicato l'equilibrio tra sicurezza proattiva e stabilità dei servizi. L'azienda specializzata in infrastrutture per il web ha subito un'interruzione su scala globale che ha reso inaccessibili migliaia di siti e piattaforme online, con utenti di tutto il mondo accolti da messaggi di errore "500 Internal Server Error". Il paradosso della vicenda risiede nella causa scatenante: una patch di emergenza progettata per proteggere dai rischi legati a una vulnerabilità critica nei React Server Components, già attivamente sfruttata da gruppi di hacker. Un classico caso in cui la medicina si rivela peggiore del male, almeno temporaneamente.
Attraverso un aggiornamento pubblicato sulla pagina di stato del servizio, Cloudflare ha chiarito che il problema è nato da una modifica al modo in cui il Web Application Firewall (WAF) della società analizza le richieste in arrivo. La rete dell'azienda è rimasta non disponibile per diversi minuti nella mattinata, compromettendo l'accesso a una porzione significativa del traffico internet globale che transita attraverso i suoi sistemi di distribuzione dei contenuti e protezione DDoS.
"Non si è trattato di un attacco esterno", ha precisato Cloudflare nel comunicato ufficiale, "la modifica è stata implementata dal nostro team per contribuire a mitigare la vulnerabilità di portata settoriale rivelata questa settimana nei React Server Components. Condivideremo ulteriori informazioni nel corso della giornata". Una situazione imbarazzante per un'azienda che fa della resilienza e dell'affidabilità il proprio cavallo di battaglia, specialmente dopo che a gennaio aveva già registrato un'interruzione globale durata quasi sei ore, definita dal CEO Matthew Prince come "il peggiore blackout dal 2019".
La vulnerabilità al centro della vicenda è catalogata come CVE-2025-55182 e ha ricevuto il punteggio massimo di gravità. Soprannominata React2Shell dalla comunità della sicurezza informatica, colpisce la libreria open-source JavaScript React utilizzata per la creazione di interfacce web e native, oltre ai framework dipendenti come Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc e RedwoodSDK. Il difetto risiede nel protocollo 'Flight' dei React Server Components e consente ad attaccanti non autenticati di ottenere l'esecuzione remota di codice nelle applicazioni React e Next.js semplicemente inviando richieste HTTP malevole agli endpoint delle React Server Function.
La finestra temporale ristretta tra la divulgazione pubblica della vulnerabilità e l'inizio dello sfruttamento attivo ha generato una corsa contro il tempo per le organizzazioni esposte. Ricercatori di sicurezza di Amazon Web Services (AWS) hanno confermato che diversi gruppi hacker collegati alla Cina, tra cui Earth Lamia e Jackpot Panda, hanno iniziato ad attaccare i sistemi vulnerabili appena poche ore dopo la pubblicazione dei dettagli tecnici del difetto. Una tempistica aggressiva che sottolinea quanto sia cruciale per le società di infrastruttura internet come Cloudflare implementare protezioni a livello di rete prima che gli attaccanti possano compromettere i singoli server.
Il National Cyber Security Operations Centre dell'NHS England ha lanciato giovedì un avviso in cui evidenzia che numerosi exploit funzionali per CVE-2025-55182 sono già disponibili pubblicamente, avvertendo che "il proseguimento dello sfruttamento con successo in ambiente reale è altamente probabile". La disponibilità di proof-of-concept operativi abbassa drasticamente la barriera d'ingresso per attori malevoli meno sofisticati, amplificando il rischio per l'intero ecosistema di applicazioni web basate su React.
Nonostante l'impatto inizialmente temuto, l'esposizione effettiva risulta più contenuta del previsto. Solo le versioni di React rilasciate negli ultimi dodici mesi presentano la vulnerabilità, il che esclude la stragrande maggioranza delle installazioni legacy ancora basate su release precedenti della libreria. Tuttavia, per le organizzazioni che hanno adottato rapidamente le versioni più recenti spinte dalle nuove funzionalità dei Server Components, il rischio rimane elevato e richiede interventi immediati di patching o, in alternativa, protezioni perimetrali come quelle che Cloudflare stava appunto tentando di implementare.
L'episodio odierno rappresenta il terzo significativo disservizio per Cloudflare in meno di un anno. A giugno, l'azienda aveva risolto un'altra interruzione massiccia che aveva causato fallimenti nell'autenticazione di Access e problemi di connettività con Zero Trust WARP in diverse regioni, con ripercussioni anche sull'infrastruttura di Google Cloud. Questa sequenza di eventi potrebbe sollevare interrogativi sulla capacità dell'azienda di testare adeguatamente modifiche critiche prima del deployment in produzione, specialmente quando tali cambiamenti riguardano componenti fondamentali come il WAF che analizza ogni singola richiesta in transito.