Bağlamda:CrowdStrike’ın Falcon Sensor aracısında yaşanan bir aksaklık geçen hafta dünya çapında büyük bir karmaşaya yol açtı ve kötü niyetli aktörler bundan faydalanmak için acele ederken kaos devam ediyor. Kargaşanın ortasında, bu yılın başlarında CrowdStrike güncellemesinin tüm Debian Linux sunucularının aynı anda çökmesine ve önyüklemeyi reddetmesine neden olduğu pek fark edilmeyen bir olayı düşünmek öğreticidir. Siber güvenlik sağlayıcısının bir temel neden analizi sunması haftalar sürdü ve güncellemenin Debian’ın en son kararlı sürümüyle uyumsuz olduğunu ortaya çıkardı.
Cuma günkü olaylar, popüler bir siber güvenlik hizmet sağlayıcısı olan CrowdStrike’ın birden fazla işletim sisteminde önemli kesintilere neden olduğu ilk olay değildi. Olanları özetlemek gerekirse: Geçtiğimiz Cuma günü dünya çapındaki Windows makineleri başlatılırken korkunç Mavi Ölüm Ekranını göstermeye başladı ve bu durum bankaları, havayollarını, medya kuruluşlarını, gıda zincirlerini ve diğer birçok işletmeyi etkiledi. Sorun, güvenlik firmasına ve Falcon Sensor aracısındaki bir soruna bağlandı. Ayrıca Microsoft 365 uygulamaları ve hizmetleriyle ilgili bir sorun da vardı.
Başka bir kesinti, bu sefer neredeyse fark edilmedi, Nisan ayında CrowdStrike güncellemesinin tüm Debian Linux sunucularının aynı anda çökmesine ve önyüklemeyi reddetmesine neden olmasıyla gerçekleşti. Güncelleme, bu Linux dağıtımının CrowdStrike tarafından desteklendiği varsayılmasına rağmen, Debian’ın en son kararlı sürümüyle uyumlu değildi.
Bu sorunlar birkaç ay boyunca meydana geldi ve güvenlik yazılımı ile belirli Linux dağıtımları arasında devam eden uyumluluk sorunlarına işaret ediyor. Örneğin, CrowdStrike kullanıcıları Rocky Linux 9.4’e yükselttikten sonra benzer sorunlar bildirdiler ve sunucular bir çekirdek sorunu nedeniyle çöktü.
CrowdStrike’ın Debian sorununa yanıtı yavaştı. Kök neden analizini sağlamaları haftalar sürdü ve bu da Debian Linux yapılandırmasının test matrislerine dahil edilmediğini ortaya çıkardı.
Bu önceki sorunlar şirketin yazılım güncelleme ve test prosedürleri hakkında ciddi endişeler doğuruyor. Elbette, Debian sorununa yavaş tepkisi şirketin test prosedürlerinin Linux sistemleri için yetersiz olduğunu ve bu uyumluluk sorunlarına yol açtığını gösteriyor.
Bu arada, Cuma günkü küresel kesintinin sonuçları devam ediyor. CrowdStrike, Windows aracı hatasını düzeltti, ancak etkilenen her bilgisayarı manuel olarak düzeltme sürecinin devam eden kesintilere neden olması bekleniyor. Belki de şaşırtıcı olmayan bir şekilde, tehdit aktörleri durumu istismar ediyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kesintinin bir siber saldırıdan kaynaklanmadığını ancak bilgisayar korsanlarının kaos ortamından faydalanarak kimlik avı ve diğer kötü amaçlı faaliyetlerde bulunduğunu bildirdi. Kötü niyetli aktörler, CrowdStrike’ı taklit eden alan adlarından kimlik avı e-postaları gönderiyor ve rastgele kripto cüzdanlarına ödeme karşılığında kesintiye çözüm sunduklarını iddia ediyor.
Siber suçlular e-postalar veya hatta telefon görüşmeleri yoluyla CrowdStrike çalışanları veya diğer teknoloji uzmanları gibi davranıyor. Saldırganlar ayrıca “CrowdStrike” ve “mavi ekran” gibi anahtar sözcükler içeren alan adlarıyla aldatıcı web siteleri de hızla kurdular. Kancalarını kurbanlara geçirdiklerinde, onları şifreler ve diğer güvenlik kodları gibi hassas bilgileri ifşa etmeleri için kandırıyorlar.