CrowdStrike’ın Güvenlik Güncellemesi Krizi, Etkileri ve Kurtarma Yöntemleri

Dünya genelindeki birçok işletme, siber güvenlik şirketi CrowdStrike tarafından yayımlanan hatalı bir güncelleme nedeniyle Windows iş istasyonlarında geniş çaplı kesintiler yaşadı.

CrowdStrike CEO’su George Kurtz, “CrowdStrike, Windows istemcileri için tek bir içerik güncellemesinde tespit edilen bir hata nedeniyle etkilenen müşterilerle aktif olarak çalışıyor,” dedi. “Mac ve Linux istemcileri etkilenmedi. Bu bir güvenlik olayı veya siber saldırı değil.”

Şirket, Windows istemcilerinde “Mavi Ekran Hataları” raporlarını kabul etti ve Falcon Sensor ürününde sorunun belirlendiğini ve bir düzeltmenin yapıldığını açıkladı. Müşterilere destek portalını takip etmeleri için çağrıda bulundu.

Sorundan etkilenen sistemler için, aşağıdaki adımların izlenmesi tavsiye ediliyor:

  1. Windows’u Güvenli Modda veya Windows Kurtarma Ortamında başlatın
  2. C:\Windows\System32\drivers\CrowdStrike dizinine gidin
  3. “C-00000291*.sys” adındaki dosyayı bulun ve silin
  4. Bilgisayarı veya sunucuyu normal şekilde yeniden başlatın

Kesintinin, Google Cloud Compute Engine’i de etkilediği ve CrowdStrike’ın csagent.sys’ini kullanan Windows sanal makinelerinin çökmesine ve beklenmeyen yeniden başlatma durumuna geçtiği belirtiliyor.

“Yetersiz bir yamanın otomatik olarak alınmasının ardından, Windows VM’ler çöküyor ve yeniden başlatılamıyor,” denildi. “Şu anda çalışan Windows VM’ler artık etkilenmemelidir.”

Microsoft Azure da benzer bir güncelleme yayınlayarak, “Bazı müşterilerin etkilenen Sanal Makineler üzerinde birden fazla yeniden başlatma işlemi ile başarılı bir şekilde geri dönme bildirdiğini” ve “birkaç yeniden başlatmanın (15’e kadar rapor edilmiştir) gerekebileceğini” açıkladı.

Amazon Web Services (AWS), Windows örnekleri, Windows Workspaces ve Appstream Uygulamaları için sorunu hafifletme adımları attığını belirterek, hâlâ etkilenmeye devam eden müşterilere “bağlantıyı geri getirmek için harekete geçmelerini” önerdi.

Siber güvenlik araştırmacısı Kevin Beaumont, “CrowdStrike’ın otomatik güncelleme aracılığıyla gönderdiği sürücüyü elde ettim. Nasıl olduğunu bilmiyorum ama dosya geçerli bir biçimde formatlanmamış bir sürücü ve her seferinde Windows’u çökertecek şekilde tasarlanmış,” dedi.

“CrowdStrike, en üst düzey EDR ürünüdür ve satış noktalarından ATM’lere kadar her yerde kullanılır – bu, olasılıkla küresel çapta en büyük ‘siber’ olay olacaktır.”

Hava yolları, finansal kuruluşlar, gıda ve perakende zincirleri, hastaneler, oteller, haber organizasyonları, demiryolu ağları ve telekom firmaları gibi birçok işletme etkilenmiştir. CrowdStrike’ın hisse senetleri, ABD ön piyasa işlemlerinde %15 değer kaybetti.

CyberArk CIO’su Omer Grossman, “Mevcut olay, Temmuz ayında bile 2024’ün en önemli siber sorunlarından biri gibi görünüyor,” dedi ve “Küresel düzeyde iş süreçlerine verdiği zarar dramatik. Hata, CrowdStrike’ın EDR ürününün bir yazılım güncellemesinden kaynaklanıyor.”

“Bu, yüksek ayrıcalıklarla çalışan ve uç noktaları koruyan bir üründür. Bu tür bir bozulma, gördüğümüz gibi, işletim sisteminin çökmesine neden olabilir.”

Kurtarma işleminin günler süreceği ve sorunun manuel olarak, her bir uç noktayı Güvenli Modda başlatarak ve hatalı sürücüyü kaldırarak çözülmesi gerektiği belirtiliyor. Grossman, hatanın kök nedeninin “en büyük ilgi alanı” olacağını ekledi.

Slovak siber güvenlik şirketi ESET’ten küresel güvenlik danışmanı Jake Moore, bu olayın “güvenlik ağlarında” birden fazla “fail safe” (kurtarma) sisteminin uygulanmasının önemini vurguladığını söyledi.

“Yükseltmeler ve sistemler ile ağlar üzerindeki bakım, istemeden küçük hatalar içerebilir ve bugün CrowdStrike’ın müşterileri tarafından deneyimlenen geniş çaplı sonuçlara neden olabilir,” dedi.

“Bu olayla ilgili bir diğer husus, büyük ölçekli BT altyapısında ‘çeşitlilik’ gereksinimidir. Kritik sistemler gibi uygulamalarda düşük çeşitlilik varsa, tek bir teknik olay, özellikle bir güvenlik sorunu, küresel çapta kesintilere ve dolaylı etkilerine yol açabilir.”

Bu gelişme, Microsoft’un Microsoft 365 uygulamaları ve hizmetleri, Defender, Intune, OneNote, OneDrive for Business, SharePoint Online, Windows 365, Viva Engage ve Purview ile ilgili sorunlara neden olan ayrı bir kesintiden toparlanmaya çalıştığı döneme denk geldi.

“Azure arka uç iş yüklerimizin bir kısmında yapılan bir yapılandırma değişikliği, depolama ve hesaplama kaynakları arasındaki bağlantıda kesintilere neden oldu ve bu da Microsoft 365 hizmetlerini etkiledi,” dedi teknoloji devi.

OpenSSF Genel Müdürü Omkhar Arasaratnam, Microsoft-CrowdStrike kesintilerinin tek tip tedarik zincirlerinin kırılganlığını vurguladığını ve daha büyük dayanıklılık ve güvenlik için teknoloji yığınlarında çeşitliliğin önemini belirtti.

“Tek tip tedarik zincirleri (tek işletim sistemi, tek EDR) doğası gereği kırılgandır ve sistemik hatalara karşı hassastır – gördüğümüz gibi,” dedi Arasaratnam. “İyi sistem mühendisliği, bu sistemlerdeki değişikliklerin kademeli olarak yayılması ve küçük gruplarda gözlemlenmesi gerektiğini söyler. Daha çeşitli ekosistemler, sistemik sorunlara karşı dayanıklıdır ve hızlı değişiklikleri tolere edebilir.”

About The Author

Reply