Плановое обновление широко используемого программного обеспечения кибербезопасности CrowdStrike в пятницу дало обратный эффект, вызвав глобальный сбой в работе ИТ, который парализовал бизнес, авиакомпании и государственные учреждения. Эксперты по безопасности теперь указывают на неадекватные проверки качества как на потенциальную причину широкомасштабного сбоя.
Неисправное обновление программного обеспечения Falcon Sensor от CrowdStrike, призванное усилить защиту от новых угроз, содержало неисправный код, который вызывал массовые сбои системы на компьютерах с Windows. Последствия сбоя ощущались во всем мире: банки, авиакомпании, больницы и даже государственные учреждения столкнулись со значительными перебоями.
Хотя CrowdStrike оперативно опубликовала информацию для исправления уязвимых систем, эксперты предупредили, что полное восстановление займет много времени и потребует ручного удаления уязвимого кода.
«Похоже, что, возможно, при проверке или изоляции кода этот файл каким-то образом не был включен в нее или проскочил», — сказал Стив Кобб, директор по безопасности в Security Scorecard, чьи собственные системы были затронуты.
Проблема стала очевидной вскоре после выпуска обновления: пользователи заполонили социальные сети изображениями ужасного «синего экрана смерти» (BSOD), сопровождаемого сообщениями об ошибках.
Исследователь безопасности Патрик Уордл проследил сбой до файла в обновлении, содержащего информацию о конфигурации или сигнатуры, используемые для обнаружения вредоносного кода. Он предположил, что частота таких обновлений могла привести к недостаточному тестированию: «Очень часто продукты безопасности обновляют свои сигнатуры, например, раз в день… потому что они постоянно отслеживают новые вредоносные программы и хотят убедиться, что их клиенты защищены от последних угроз… Частота обновлений, «вероятно, является причиной того, почему (CrowdStrike) не тестировал его так часто», — сказал он.
Эксперты раскритиковали отсутствие поэтапного развертывания обновления. «В идеале это было бы сначала развернуто для ограниченного пула», — сказал Джон Хаммонд, главный исследователь безопасности в Huntress Labs, в интервью Reuters. «Это более безопасный подход, позволяющий избежать такого большого беспорядка».
Этот инцидент подчеркивает потенциал катастрофических последствий, когда обновления безопасности, предназначенные для защиты систем, содержат необнаруженные недостатки. Он также подчеркивает необходимость надежных мер контроля качества и осторожных стратегий развертывания для предотвращения подобных масштабных сбоев в будущем.
Шриранг Шриканта, основатель и генеральный директор Yethi Consulting, сказал: «Эти сбои показывают, насколько хрупкими и взаимосвязанными являются наши системы. Такие компании, как MSFT, имеют отличные практики, и тот факт, что ошибка проходит через их процесс, является прискорбным. Это еще раз подтверждает необходимость хорошей практики тестирования перед выпуском нового программного обеспечения в производственные системы».
Сундарешвар К., партнер и руководитель направления кибербезопасности PwC India, прокомментировал: «Это событие черного лебедя, которое затрагивает не только бизнес, но и весь национальный механизм, и подчеркивает, что защита организаций от рисков требует гораздо большего, чем просто технологий… Это событие подчеркивает, насколько ошибочно утверждение, что только расширенное развертывание технологий поможет организациям стать более защищенными и обеспечить непрерывность бизнеса. Пока организации работают над исправлением текущей ситуации, основное внимание следует уделять переосмыслению рисков и выходу за рамки уровней, исправлений, продуктов и инструментов для создания изначально прочной киберархитектуры с дополнительными вмешательствами, которые гарантируют устойчивость перед лицом таких непредвиденных технологических неудач или сбоев».
Athenian Tech заявила в своем заявлении: «Недавний инцидент с датчиком CrowdStrike Falcon выявил значительные уязвимости и эксплуатационные риски с автоматическими обновлениями безопасности, что приводит к широко распространенным сбоям системы, особенно в корпоративных средах. Это подчеркивает необходимость тщательного тестирования и контролируемых стратегий развертывания обновлений программного обеспечения. В то время как CrowdStrike решает эту проблему, этот инцидент подчеркивает важность баланса между надежной безопасностью и стабильностью системы, а также принятия передовых методов обновления программного обеспечения для предотвращения подобных инцидентов в будущем».
Пиюш Гоэль, основатель и генеральный директор Beyond Key, сказал: «Сложные взаимодействия между обновлением CrowdStrike и инфраструктурой Microsoft, вероятно, были непредвиденными. CrowdStrike быстро выявил ошибку и откатил обновление, в то время как CERT-In предоставил пользователям инструкции по удалению проблемного файла. Этот инцидент подчеркивает необходимость разнообразных и хорошо проверенных решений по кибербезопасности для предотвращения подобных масштабных сбоев в будущем».
Глобальные последствия этого сбоя свидетельствуют о широком распространении CrowdStrike: его программное обеспечение используют более половины компаний из списка Fortune 500 и многочисленные государственные учреждения, включая Агентство по кибербезопасности и безопасности инфраструктуры США (CISA).
Ответ CrowdStrike
Вот описание произошедшего, согласно официальным заявлениям CrowdStrike:
Хронология:
19 июля 2024 г., 04:09 UTC: CrowdStrike выпустила обновление конфигурации датчиков для систем Windows в рамках своих текущих операций по обеспечению безопасности.
19 июля 2024 г., 05:27 UTC: Ошибочное обновление было исправлено.
Влияние:
Системы Windows под управлением Falcon Sensor версии 7.11 и выше, которые были подключены к Интернету и загрузили обновление между 04:09 UTC и 05:27 UTC, были подвержены сбоям системы.
Системы под управлением Linux или macOS не пострадали.
Технические подробности:
Проблема возникла из-за некорректного обновления «Channel File 291» — файла конфигурации, который определяет, как Falcon Sensor оценивает выполнение именованного канала в системах Windows.
Обновление было направлено на борьбу с вредоносными именованными каналами, используемыми в кибератаках, но вызвало логическую ошибку, что привело к сбоям в работе операционной системы.
CrowdStrike с тех пор исправил логическую ошибку и обновил файл канала 291.
Ответ CrowdStrike:
«Эта проблема не является результатом кибератаки и не связана с ней», — подчеркнули в CrowdStrike.
Компания оперативно устранила неполадку и предоставила рекомендации по ее устранению через свой блог и портал поддержки.
CrowdStrike проводит тщательный анализ первопричин, чтобы предотвратить подобные инциденты в будущем.
«Мы понимаем, как возникла эта проблема, и проводим тщательный анализ первопричин, чтобы определить, как возникла эта логическая ошибка. Эти усилия будут продолжаться. Мы стремимся выявить любые фундаментальные или рабочие улучшения, которые мы можем сделать для укрепления нашего процесса. Мы обновим наши выводы в анализе первопричин по мере продвижения расследования», — заявила компания.
