Jul 20, 2024

IT Outage Due to CrowdStrike のメモ

Widespread IT Outage Due to CrowdStrike Update (07/19)

https://www.cisa.gov/news-events/alerts/2024/07/19/widespread-it-outage-due-crowdstrike-update

以下機械翻訳 ↓

注:CISAは詳細情報が入り次第、本アラートを更新する。


2024年7月20日午前00時30分(JST)現在: 


CISAは、CrowdStrikeの最近のアップデートの問題により、Microsoft Windowsホストに影響を及ぼしている広範な障害を認識しており、CrowdStrike、連邦、州、地方、部族、準州(SLTT)パートナー、重要インフラ、国際的なパートナーと緊密に連携し、影響を評価し、修復作業を支援している。CrowdStrikeが以下の障害を確認:

  • Windows 10以降のシステムに影響。
  • MacおよびLinuxホストには影響なし。
  • CrowdStrike Falconのコンテンツアップデートによるものであり、悪意のあるサイバー活動によるものではないこと。

CrowdStrikeによると、問題は特定され、分離され、修正プログラムが導入されたとのことです。CrowdStrikeの顧客組織は、この問題を解決するためにCrowdStrikeのガイダンス顧客ポータルを参照してください。


なお、CISAは、脅威行為者がこのインシデントを利用してフィッシングやその他の悪意のある活動を行っていることを確認しています。CISAは、組織と個人に対し、警戒を怠らず、合法的な情報源からの指示にのみ従うよう促している。CISAは、フィッシングメールや不審なリンクをクリックしないよう従業員に注意を促すよう組織に推奨している。

本製品は、本通知および本プライバシー・ポリシーに従って提供される。


Statement on Falcon Content Update for Windows Hosts (07/19 6:11pm ET)


以下、機械翻訳抜粋 ↓

詳細

  • 症状には、Falcon センサーに関連するバグチェック\ブルー スクリーン エラーが発生するホストが含まれます。
  • 影響を受けていない Windows ホストでは、問題のあるチャネル ファイルが元に戻されているため、アクションは必要ありません。
  • UTC 0527以降にオンラインになったWindowsホストも影響を受けません。
  • この問題はMacまたはLinuxベースのホストには影響しません
  • タイムスタンプが 0527 UTC 以降のチャネル ファイル「C-00000291*.sys」が、元に戻された (正常な) バージョンです。
  • タイムスタンプが 0409 UTC のチャネル ファイル「C-00000291*.sys」が問題のあるバージョンです。
    • 注: CrowdStrike ディレクトリに複数の "C-00000291*.sys" ファイルが存在するのは正常です。フォルダー内のファイルの 1 つに 0527 UTC 以降のタイムスタンプがあれば、それがアクティブ コンテンツになります。
...

個々のホストに対する回避策の手順:

  • ホストを再起動して、元に戻したチャネル ファイルをダウンロードできるようにします。ホストはイーサネット経由でインターネット接続をかなり速く取得できるため、再起動する前にホストを有線ネットワーク (WiFi ではなく) に接続することを強くお勧めします。
  • ホストが再度クラッシュした場合は、次のようになります。
    • WindowsをセーフモードまたはWindows回復環境で起動します
      • 注: ホストを有線ネットワーク (WiFi ではなく) に接続し、セーフ モードとネットワークを使用すると、修復に役立ちます。
    • %WINDIR%\System32\drivers\CrowdStrikeディレクトリに移動します
      • 注: WinRE/WinPEでは、OSボリュームのWindows\System32\drivers\CrowdStrikeディレクトリに移動します。
    • 「C-00000291*.sys」に一致するファイルを見つけて削除します。
    • ホストを通常どおり起動します。
    • 注意: BitLocker で暗号化されたホストでは回復キーが必要になる場合があります。

パブリック クラウドまたは仮想を含む同様の環境での回避策の手順:

... 以下略 ...


 』

--- 07/22 追記 --->
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった (07/20)
https://softantenna.com/blog/crowdstrike-linux/
『Hacker Newsによると今年の4月、CrowdStrikeのアップデートによって、市民技術ラボのすべてのDebian Linuxサーバーが同時にクラッシュし、起動できなくなる問題が発生していたとのこと。』

『致命的な問題が繰り返し発生していることは、CrowdStrikeのソフトウェア・アップデートとテストの手順について深刻な懸念を引き起こしており、同社の製品に依存している顧客にとっての潜在的なリスクが存在することを浮き彫りにしています。』

では、この先は? ガートナーを問題視する声は無い。
単一の正解が無いことの理解を求めつつ、手探りしていくのだろうなぁ。



No comments: