كيف تسبب تحديث برمجي من شركة CrowdStrike للأمن السيبراني في حدوث واحدة من أكبر حالات انقطاع التيار الكهربائي في مجال تكنولوجيا المعلومات في العالم

أدى خطأ في التحديث الذي أصدرته شركة الأمن السيبراني CrowdStrike إلى تأثير متسلسل بين أنظمة تكنولوجيا المعلومات العالمية يوم الجمعة، حيث واجهت الصناعات التي تتراوح من البنوك إلى شركات الطيران انقطاعات.

وتعطلت خدمات البنوك ومقدمي الرعاية الصحية، كما توقفت محطات البث التلفزيوني عن العمل، في حين عانت الشركات في مختلف أنحاء العالم من الانقطاع المستمر. كما تضررت حركة الطيران بشدة، حيث توقفت الطائرات عن الإقلاع وتأخرت الخدمات.

في قلب هذه القضية، هناك شركة متخصصة في الأمن السيبراني مقرها تكساس كراود سترايكوفي يوم الجمعة، واجهت شركة الأمن السيبراني خللًا كبيرًا في أعقاب مشكلة في تحديث البرنامج.

إذن، ما الذي حدث بالضبط؟ قناة CNBC تلقي نظرة على ذلك.

CrowdStrike هي شركة متخصصة في الأمن السيبراني تعمل على تطوير برامج لمساعدة الشركات على اكتشاف عمليات الاختراق وحظرها. وتستخدمها العديد من شركات Fortune 500 العالمية، بما في ذلك البنوك العالمية الكبرى وشركات الرعاية الصحية والطاقة.

CrowdStrike هي شركة معروفة بـ “شركة أمن نقاط النهاية” لأنها تستخدم تقنية السحابة لتطبيق الحماية السيبرانية على الأجهزة المتصلة بالإنترنت.

وهذا يختلف عن الأساليب البديلة التي تستخدمها شركات الإنترنت الأخرى، والتي تنطوي على تطبيق الحماية مباشرة على أنظمة الخوادم الخلفية.

وقال نيك فرانس، كبير مسؤولي التكنولوجيا في شركة أمن تكنولوجيا المعلومات Sectigo، لبرنامج “Squawk Box Europe” على شبكة CNBC يوم الجمعة: “تستخدم العديد من الشركات برنامج CrowdStrike وتثبته على جميع أجهزتها في جميع أنحاء مؤسستها”.

“لذا عندما يحدث تحديث قد يكون به مشاكل، فإنه يسبب هذه المشكلة حيث يتم إعادة تشغيل الأجهزة، ولا يتمكن الأشخاص من العودة إلى أجهزة الكمبيوتر الخاصة بهم.”

بدأ الناس في جميع أنحاء العالم يوم الجمعة يواجهون شاشة خطأ تُعرف باسم “شاشة الموت الزرقاء”.

كانت هذه المشكلة – وهي مشكلة شائعة بين أجهزة الكمبيوتر، على سبيل المثال إذا ارتفعت درجة حرارة الجهاز – نتيجة لتحديث من CrowdStrike بخصوص منتج Falcon الخاص بها.

Falcon هي منصة طورتها الشركة بهدف وقف الاختراقات السيبرانية باستخدام تقنية الحوسبة السحابية – وهي في صميم تركيز الشركة على نقاط النهاية. قالت شركة CrowdStrike يوم الجمعة إنها في طور التراجع عن التحديث عالميًا.

يتطلب برنامج CrowdStrike الوصول العميق إلى نظام تشغيل الكمبيوتر للبحث عن التهديدات. وفي حالة انقطاع الخدمة يوم الجمعة، تعطلت الأجهزة التي تعمل بنظام التشغيل Windows من Microsoft بسبب خلل في طريقة تفاعل تحديث البرنامج الذي أصدرته CrowdStrike مع Windows.

“لقد علمنا بوجود مشكلة تؤثر على الأجهزة الافتراضية التي تعمل بنظام Windows Client وWindows Server، والتي تعمل بنظام CrowdStrike Falcon، والتي قد تواجه فحصًا للأخطاء (شاشة الموت الزرقاء) وتتعطل في حالة إعادة التشغيل. نقدر أن التأثير بدأ في حوالي الساعة 19:00 بتوقيت UTC في الثامن عشر من يوليو،” مايكروسوفت وقال في تحديث الساعة 5:40 صباحًا بالتوقيت الشرقي.

وأضافت الشركة: “يمكننا تأكيد أن CrowdStrike قامت بسحب التحديث المتأثر. يجب على العملاء الذين لا يزالون يواجهون مشكلات التواصل مع CrowdStrike للحصول على مساعدة إضافية”.

وقال ساتنام نارانج، الباحث البارز في شركة تينابل، لشبكة سي إن بي سي يوم الجمعة إن الانقطاع “غير مسبوق على الإطلاق”.

وقال “إن التحدي هنا هو أن برامج الأمان – لأنها تؤدي وظيفتها في حماية المؤسسات – يجب أن تتمتع بقدر أكبر من إمكانية الوصول إلى هذه الأجهزة”.

وبالتالي، في حين قد يرى الأشخاص مشكلات تكنولوجيا المعلومات الخاصة بهم على أنها مشكلة مع نظام التشغيل Windows، “فإنها في الواقع ليست مشكلة متعلقة بنظام Windows، بل تتعلق بتحديث خاطئ أو سيئ من برامج الأمان هذه”، كما أضاف نارانج.

في وقت سابق، قالت شركة مايكروسوفت إن خدماتها السحابية عادت إلى العمل بعد انقطاع أثر على خدمات Azure ومجموعة تطبيقات Microsoft 365 في منطقة وسط الولايات المتحدة. وقال متحدث باسم الشركة إن هاتين المشكلتين مختلفتان وغير مرتبطتين – تتعلق إحداهما بخدمة Azure، والأخرى مرتبطة بخدمة CrowdStrike.

وأضافوا أنهم “يتوقعون صدور حل قريبًا” فيما يتعلق بمشكلة CrowdStrike.

قال الرئيس التنفيذي لشركة CrowdStrike، جورج كورتز، يوم الجمعة في تحديث على منصة التواصل الاجتماعي X: “إن الشركة تعمل بنشاط مع العملاء المتأثرين بخلل تم العثور عليه في تحديث محتوى واحد لمضيفي Windows”. وأضاف أن مضيفي Mac وLinux غير متأثرين.

وقال كورتز “هذا ليس حادثًا أمنيًا أو هجومًا إلكترونيًا. لقد تم تحديد المشكلة وعزلها وتم نشر حل”.

لكن قد يكون من الصعب تنفيذ هذا الإصلاح. وقال آندي جرايلاند، كبير مسؤولي المعلومات والأمن في شركة استخبارات التهديدات سيلوبريكر، إنه من أجل تنفيذ الإصلاح، سيتعين على المهندسين الدخول إلى كل مركز بيانات فردي يعمل بنظام ويندوز.

وقال إنه يتعين عليهم بعد ذلك تسجيل الدخول والانتقال إلى ملف CrowdStrike معين وحذفه ثم إعادة تشغيل النظام بأكمله.

“عندما يتم تشفير الأجهزة، يلزم أيضًا إدخال مفاتيح تشفير معقدة يدويًا. وما لم تتوصل مايكروسوفت وCrowdStrike (إذا كانتا متورطتين) إلى حل معجزي، فقد يكون التعافي من هذا الأمر مؤلمًا للغاية.”