קראודסטרייק: התקלה העולמית – בגלל באג בתוכנת בדיקה

באג 2024, היום החמישי: קראודסטרייק הודיעה כי באג בתוכנת הבדיקה שלה הוא שהביא לתקלת ההשבתה העולמית, שנגרמה בשבוע שעבר.

ענקית האבטחה פרסמה היום (ד') עדכון למדריך ההתאוששות והשיקום שהיא הנפיקה בעקבות התקרית הגלובלית, שהביאה להשבתה של 8.5 מיליון מחשבים ושרתים מבוססי Windows, ופגעה גם במחשבים שפועלים על גבי לינוקס.

לפי ענקית האבטחה, בפלקון, פלטפורמת ההגנה שלה, יש חיישן שמגיע עם "תוכן" – כזה שמגדיר את יכולותיו. התוכנה מתעדכנת ב-"Rapid Response Content", וכך מתאפשרת יכולת לזהות ולאסוף מידע על איומים חדשים. ה-"תוכן" של החיישנים נסמך על קוד בשם "סוגי תבניות", שכולל שדות מוגדרים מראש עבור מהנדסי זיהוי איומים, על מנת להעניק לפלטפורמת ההגנה יכולת לתגובה מהירה. כך, כל מופע מבין התבניות הללו ממפה את ההתנהגויות הספציפיות – כדי שתוכנת החיישן תוכל לצפות, לזהות ולסכל את האיומים.

"באג במאמת התוכן"

בפברואר השנה הנפיקה קראודסטרייק "סוג תבנית" חדש, שנועד לזהות טכניקות התקפה חדשות. סוג תבנית זה עבר בדיקות בתחילת מרץ, ולאחר מכן שוחרר לשימוש הלקוחות. שלושה סוגי תבנית נוספים שוחררו במהלך אפריל, וכולם פעלו באופן כמעט תקין לחלוטין. בדיעבד, הסתבר כי הבעיה הייתה דווקא לא עם כלים ומערכות מבוססי Windows, אלא עם כאלה שפועלים בסביבת לינוקס. כפי שפרסמנו אתמול, למכונות בסביבת לינוקס היו בעיות עם ההגנה של קראודסטרייק כבר באפריל.

מאוחר יותר, ב-19 באפריל, ענקית הגנת הסייבר שחררה סוגי תבנית נוספים. אחד מהם כלל, לפי קראוד סטרייק, "נתוני תוכן בעייתיים" – אבל למרות זאת החברה שחררה אותו לשוק, בגלל מה שהיא תיראה כ-"באג במאמת התוכן (Content Validator)". החברה לא פירטה את תפקידו של מאמת התוכן.

מומחים הסבירו כי "הבאג שוחרר כחלק מההשקה של הוספת רכיבים ושירותים מעודכנים. זה קרה כיוון שאנשי קראודסטרייק הניחו, ובדיעבד באופן שגוי, שמשמעותן של תוצאות הבדיקות שסוגי התבניות עברו במרץ ובאפריל היא שהעדכון ששוחרר לשוק ב-19 ביולי – תקין". אז זהו, שלא.