Ngày 05/12/2025, Cloudflare đã gặp sự cố gián đoạn dịch vụ diện rộng ảnh hưởng đến khoảng 28% lưu lượng HTTP toàn cầu. Nguyên nhân gốc rễ là do một thay đổi cấu hình nội bộ nhằm vá lỗ hổng bảo mật nghiêm trọng React2Shell (CVE-2025-55182) chứ không phải do tấn công mạng.
Chuyện gì đã xảy ra?
Vào thứ Sáu, ngày 05/12/2025, Cloudflare đã thực hiện thay đổi body parsing logic của các request HTTP. Mục đích của thay đổi này là để phát hiện và giảm thiểu rủi ro từ lỗ hổng bảo mật “React2Shell” (CVE-2025-55182) vừa được công bố trong thư viện React Server Components.
Tuy nhiên, bản thay đổi này bị lỗi (borked fix), dẫn đến việc mạng lưới của Cloudflare tự ngừng hoạt động. CTO của Cloudflare, Dane Knecht tại Cloudflare outage on December 5, 2025 xác nhận sự cố “không gây ra trực tiếp hay gián tiếp bởi bất kỳ cuộc tấn công mạng hay hoạt động độc hại nào”, mà là hệ quả của nỗ lực vá lỗi gấp rút trước áp lực khai thác từ cộng đồng hacker.
Timeline sự cố
| PST_time (VN_time) | Mô tả |
|---|---|
| T4 03/12 (T5 04/12) | Đội ngũ React công bố lỗ hổng CVE-2025-55182 (React2Shell) với điểm CVSS 10.0. |
| T5 04/12 (T6 05/12) | Amazon và Chính phủ Anh cảnh báo về việc các nhóm hacker (như Earth Lamia, Jackpot Panda) đang khai thác lỗ hổng. |
| T6 05/12 Sáng (T6 05/12 Tối) | Cloudflare triển khai thay đổi logic body parsing để chặn lỗ hổng React2Shell. |
| T6 05/12 Sáng (T6 05/12 Tối) | Ngay sau khi triển khai, 28% traffic HTTP của Cloudflare bị ảnh hưởng, các website toàn cầu bị sập. |
| T6 05/12 (T7 06/12) | Cloudflare xác nhận nguyên nhân do lỗi cấu hình nội bộ và tiến hành khôi phục. |
Ảnh hưởng
Sự cố đã khiến khoảng 28% tổng lưu lượng HTTP được phục vụ bởi Cloudflare bị gián đoạn, làm cho nhiều website trên toàn thế giới không thể truy cập.
Về bối cảnh bảo mật, lỗ hổng React2Shell (CVE-2025-55182) đang bị các nhóm tấn công nhà nước (state-nexus threat groups) và ransomware khai thác triệt để để đánh cắp cấu hình AWS, credential files và cài đặt downloader. Áp lực phải đóng lỗ hổng này ngay lập tức đã dẫn đến sai sót trong quy trình triển khai của Cloudflare.
Cách tổ chức khắc phục sự cố
- Cloudflare xác định nhanh chóng rằng sự cố không phải do tấn công DDoS hay xâm nhập hệ thống, mà xuất phát từ chính logic mitigation họ vừa deploy.
- Đội ngũ kỹ thuật đã phải rollback các thay đổi trong logic parsing để khôi phục lưu lượng mạng, chấp nhận rủi ro tạm thời từ lỗ hổng React2Shell cho đến khi có bản vá an toàn hơn.
Phản ứng từ cộng đồng
- Các chuyên gia Threat Intel như Pascal Geenens (Radware) kêu gọi cộng đồng bảo mật cần chia sẻ thông tin nhanh hơn để các nhà cung cấp có thể chuẩn bị biện pháp giảm thiểu trước khi hacker khai thác diện rộng.
- CISA (Mỹ) đã thêm React2Shell vào Danh mục Lỗ hổng Đang bị Khai thác (Known Exploited Vulnerabilities Catalog) chỉ một ngày sau khi công bố.
- Cộng đồng nghiên cứu tranh luận về quy trình “Responsible Disclosure” khi các mã khai thác (PoC) giả mạo lan tràn gây nhiễu loạn cho đội ngũ phòng thủ.
DevOps VietNam facts: Áp lực phải hotfix các lỗ hổng Zero-day nghiêm trọng thường dẫn đến rủi ro cấu hình sai gây sập hệ thống nhanh hơn cả việc bị hacker tấn công.
