Bug no controle de falhas possibilitou atualização ruim do Falcon, diz relatório

Em reporte preliminar pós-incidente divulgado hoje (24), a companhia ofereceu mais detalhes do que possibilitou o incidente que paralisou diversos aparelhos digitais em todo o mundo. Ainda segundo a CrowdStrike, os processos de testagem das novas atualizações estão sendo revistos e reprogramados

Compartilhar:

A CrowdStrike divulgou nesta quarta-feira (24) seu primeiro Reporte Preliminar de Pós-Incidente (PIR, em inglês) relativo ao apagão cibernético ocorrido no último 19 de julho. Através da nota, a empresa explica o problema processual que viabilizou a liberação de uma atualização do Falcon capaz de paralisar por completo os sistemas Azure da Microsoft.

 

De acordo com a CrowdStrike, devido a um defeito de fábrica, esse update causou problemas aos hosts Azure que utilizam a ferramenta. Como resultado, diversos serviços foram paralisados. Em atualização recente de ambas as organizações, ao menos 8,5 milhões de dispositivos foram paralisados pela pane geral, com diversos deles se recuperando lentamente.

 

A partir desse novo reporte preliminar, a vendor de Cibersegurança busca explicar como essa falha passou pelos critérios de controle internos. De acordo com a nota, a CrowdStrike utiliza dois meios para entregar atualizações de configuração aos usuários do Falcon. Um deles é o “Sensor Content”, enviado diretamente aos clientes, e sobre o qual a aplicação é de total controle deles, incluindo o momento da atualização.

 

O outro processo, chamado de “Rapid Response Content”, visa responder às mudanças da superfície de ameaças em velocidade operacional. Por isso, via checagens automatizadas de segurança, essa atualização pode ser entregue e aplicada diretamente ao serviço Falcon. Foi através desse processo que o update falho passou sem ser detectado.

 

“Em 19 de julho, duas instâncias adicionais do modelo IPC foram implementadas. Devido a um bug no validador de conteúdo, uma das duas instâncias de modelo foi aprovada na validação, apesar de conter dados de conteúdo problemáticos. Com base nos testes realizados antes da implementação inicial, e na confiança nas verificações realizadas no validador de conteúdo e nas implementações anteriores bem-sucedidas, essas instâncias foram implementadas na produção”, explica a nota.

 

A companhia ainda informou que está tomando diversas medidas para evitar que esse problema no controle de qualidade das atualizações volte a se repetir. Entre elas está alterar os meios de testagem do Rapid Response Content, incluindo checagens de validação adicionais e estabelecer uma estratégia de aplicação fracionada dessas atualizações, para evitar nova paralisação geral.

 

Além disso, a CrowdStrike se compromete a oferecer maior controle por parte dos usuários às atualizações do Rapid Response Content, permitindo seleção granular sobre onde e quando essas atualizações serão aplicadas. Novos ajustes feitos através desse processo serão detalhados por meio de releases enviados aos clientes.

 

“Além desta revisão preliminar pós-incidente, a CrowdStrike se compromete a divulgar publicamente a análise completa da causa raiz assim que a investigação for concluída. O defeito na atualização de conteúdo foi revertido na sexta-feira. Os sistemas que ficaram on-line após esse período, ou que não se conectaram durante a janela, não foram afetados.”, encerra o comunicado.

 

Prestação de Contas

Diante dos enormes impactos causados pelo defeito na solução da CrowdStrike, membros do Comitê de Segurança Nacional da Câmara dos Representantes dos Estados Unidos enviaram uma carta ao CEO da vendor, George Kurtz, solicitando-o a prestar esclarecimentos sobre o caso, em sessão que será aberta ainda nessa quarta-feira. Por ser um convite, todavia, não há obrigação do executivo comparecer ao encontro.

 

O jornal The Washington Post, que reportou a carta, ainda informa que outras autoridades devem se debruçar sobre o ocorrido nos próximos dias, aumentando a pressão sobre a responsabilidade da CrowdStrike nesse apagão cibernético. São citados os Comitês de Supervisão Governamental, de Energia e Comércio e o próprio plenário da Câmara. Em nota, a corporação disse estar ativamente em contato com os comitês relevantes do Congresso.

 

*Com informações da Agência Reuters e do The Washington Post

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...