Disrupciones Globales en Soluciones de Ciberseguridad: El Caso de CrowdStrike
El mundo empresarial se ha visto gravemente afectado por interrupciones generalizadas en estaciones de trabajo con Windows debido a una actualización defectuosa de CrowdStrike. Este incidente ha subrayado la importancia de implementar medidas de ciberseguridad robustas y diversificar infraestructuras de TI para evitar fallos sistémicos de gran escala.
Recientemente, CrowdStrike notificó a sus clientes sobre un problema en una actualización de contenido para hosts de Windows. Según George Kurtz, CEO de la empresa, “CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una actualización de contenido para hosts de Windows.” Cabe mencionar que los sistemas Mac y Linux no han sido afectados. Kurtz aclaró que no se trata de un incidente de seguridad ni de un ciberataque. La empresa ha identificado el problema y ha desplegado una solución para su producto Falcon Sensor, pidiendo a los clientes que consulten el portal de soporte para las últimas actualizaciones.
Instrucciones de Mitigación para Equipos Afectados:
- Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.
- Navegar al directorio
C:\Windows\System32\drivers\CrowdStrike. - Encontrar y eliminar el archivo llamado “C-00000291*.sys”.
- Reiniciar el equipo o servidor normalmente.
Impacto en Servicios de Nube
Los efectos de esta actualización defectuosa no se limitaron a estaciones de trabajo individuales. Servicios de computación en la nube, como Google Cloud Compute Engine, también se vieron afectados. Las máquinas virtuales de Windows que utilizaron el controlador csagent.sys de CrowdStrike empezaron a fallar y enfrentaron reinicios inesperados. Google informó que las máquinas virtuales de Windows que ya estaban en funcionamiento no deberían verse más afectadas.
De igual modo, Microsoft Azure publicó actualizaciones similares, indicando que habían recibido informes de recuperación exitosa después de varios intentos de reiniciar las máquinas virtuales afectadas. Azure señaló que en algunos casos, se requerían hasta 15 reinicios para solventar el problema.
Amazon Web Services (AWS) también tomó medidas para mitigar el problema en el mayor número posible de instancias de Windows, WorkSpaces de Windows y aplicaciones de Appstream. AWS recomendó a los clientes afectados que “tomaran medidas para restaurar la conectividad.” AWS subrayó la importancia de estas acciones rápidas para minimizar el impacto.
Reacciones y Análisis
El investigador de seguridad Kevin Beaumont encontró que el controlador de CrowdStrike distribuido vía actualización automática no estaba correctamente formateado, lo que causaba que Windows fallara continuamente. Esto generó un impacto considerable en diferentes sectores como aerolíneas, instituciones financieras, cadenas alimenticias y de retail, hospitales, hoteles, redes ferroviarias y empresas de telecomunicaciones. Beaumont opinó que este podría ser uno de los mayores incidentes “cibernéticos” a nivel mundial en términos de impacto.
Omer Grossman, CIO de CyberArk, calificó el evento como uno de los problemas cibernéticos más significativos del 2024. Resaltó que el problema surgió de una actualización de software de un producto EDR de CrowdStrike, que tiene privilegios altos y protege puntos finales. La recuperación de este problema podría tardar varios días, ya que cada punto final afectado necesitaría ser reiniciado en Modo Seguro para la eliminación manual del controlador defectuoso.
Jake Moore, asesor global de seguridad en ESET, indicó que este incidente pone de relieve la necesidad de implementar múltiples “mecanismos de seguridad” y diversificar la infraestructura de TI. Argumentó que los errores pequeños en actualizaciones y mantenimiento pueden tener consecuencias amplias, y la baja diversidad en infraestructuras puede llevar a fallos sistémicos globales con efectos en cadena.
Reflexiones sobre la Importancia de la Diversidad en Infraestructura
Omkhar Arasaratnam, gerente general de OpenSSF, señaló que los fallos de Microsoft-CrowdStrike subrayan la fragilidad de las cadenas de suministro monoculturales y destacó la importancia de la diversidad en las pilas tecnológicas para una mayor resiliencia y seguridad. Los ecosistemas diversos pueden tolerar cambios rápidos ya que son más resistentes a problemas sistémicos.
En conclusión, este incidente con CrowdStrike y su impacto global sirve como un recordatorio poderoso de la importancia de una ciberseguridad sólida y la necesidad imperiosa de diversificar nuestra infraestructura tecnológica para reducir riesgos y aumentar la resiliencia frente a fallos sistémicos.
Para obtener más información oficial, pueden consultar CrowdStrike y otros proveedores de servicios afectados, como Google, Azure y AWS.
Fuente: https://thehackernews.com/2024/07/faulty-crowdstrike-update-crashes.html