أدى خلل في تحديث أصدرته شركة الأمن السيبراني CrowdStrike إلى تأثير سلسلة من الأعطال في الأنظمة التقنية العالمية يوم الجمعة، مما تسبب في توقف خدمات قطاعات متعددة مثل البنوك وشركات الطيران. تأثرت المؤسسات المالية ومقدمو الرعاية الصحية بانقطاعات في خدماتهم، وتوقفت البث التلفزيوني بينما تكافح الشركات في جميع أنحاء العالم مع هذا الانقطاع المستمر. تعرضت صناعة الطيران لضربة كبيرة أيضًا، حيث تم إيقاف الطائرات وتأخير الخدمات.
في قلب المشكلة كانت شركة CrowdStrike للأمن السيبراني التي تتخذ من تكساس مقرًا لها. يوم الجمعة، واجهت الشركة تعطلاً كبيرًا نتيجة مشكلة في تحديث البرنامج.
ما هي CrowdStrike وما الذي تقوم به؟
CrowdStrike هي شركة للأمن السيبراني تطور برامج لمساعدة الشركات على اكتشاف ومنع الاختراقات. تستخدم العديد من شركات Fortune 500 في العالم، بما في ذلك البنوك العالمية الرئيسية وشركات الرعاية الصحية والطاقة، برامج CrowdStrike.
تُعرف CrowdStrike كشركة متخصصة في “أمن النقاط الطرفية” لأنها تستخدم تكنولوجيا السحابة لتطبيق الحماية السيبرانية على الأجهزة المتصلة بالإنترنت. يختلف هذا النهج عن النهج البديل الذي تستخدمه شركات الأمن الأخرى، والذي يتضمن تطبيق الحماية مباشرة على أنظمة الخوادم الخلفية.
صرح نيك فرانس، رئيس التكنولوجيا في شركة Sectigo للأمن التقني، لبرنامج “Squawk Box Europe” على قناة CNBC يوم الجمعة، قائلاً: “تستخدم العديد من الشركات [برامج CrowdStrike] وتثبتها على جميع أجهزتها عبر المنظمة، لذا عندما يحدث تحديث به مشكلة، يتسبب ذلك في إعادة تشغيل الأجهزة ولا يمكن للأشخاص الدخول إلى حواسيبهم”.
ماذا حدث يوم الجمعة؟
يوم الجمعة الموافق ١٩ يوليو ٢٠٢٤، بدأ الناس في جميع أنحاء العالم يواجهون شاشة خطأ تُعرف بـ “الشاشة الزرقاء للموت”. كانت هذه المشكلة — وهي مشكلة شائعة بين أجهزة الكمبيوتر في حالة حدوث ارتفاع في درجة الحرارة، على سبيل المثال — نتيجة تحديث من CrowdStrike يتعلق بمنتجها Falcon. Falcon هو منصة طورتها الشركة مصممة لمنع الاختراقات السيبرانية باستخدام تكنولوجيا السحابة، وهو في صميم تركيز الشركة على النقاط الطرفية. قالت CrowdStrike يوم الجمعة إنها في عملية التراجع عن التحديث عالميًا.
يتطلب برنامج CrowdStrike وصولاً عميقًا إلى نظام تشغيل الكمبيوتر لفحص التهديدات. في حالة انقطاع يوم الجمعة، تعطلت الأجهزة التي تعمل بنظام تشغيل Windows من Microsoft نتيجة خطأ في طريقة تفاعل تحديث البرنامج الذي أصدرته CrowdStrike مع Windows.
التصريحات الرسمية والتفاعل مع المشكلة
قالت Microsoft في تحديث عند الساعة 5:40 صباحًا بتوقيت شرق الولايات المتحدة: “لقد تم إعلامنا بوجود مشكلة تؤثر على الأجهزة الافتراضية التي تعمل بنظام Windows Client وWindows Server، التي تعمل بعامل CrowdStrike Falcon، مما قد يواجه فحص الأخطاء (BSOD [الشاشة الزرقاء للموت]) ويعلق في حالة إعادة التشغيل. نقدر أن التأثير بدأ حوالي الساعة 19:00 بتوقيت UTC في 18 يوليو”.
وأضافت الشركة: “يمكننا تأكيد أن التحديث المتأثر قد تم سحبه بواسطة CrowdStrike. العملاء الذين يستمرون في مواجهة مشاكل يجب أن يتواصلوا مع CrowdStrike للحصول على مساعدة إضافية”.
ردود الأفعال
وصف ساتنام نارنج، الباحث الرئيسي في Tenable، الانقطاع يوم الجمعة بأنه “غير مسبوق”. وقال: “التحدي هنا هو أن برامج الأمن — لأنها تقوم بعملها في حماية المؤسسات — يجب أن تحصل على وصول أكبر إلى هذه الأجهزة”. وأضاف: “لذلك، بينما قد يرى الناس مشكلاتهم التقنية كأنها مشكلة في Windows، فإنها في الواقع ليست مشكلة Windows، بل تتعلق بتحديث خاطئ أو سيء من تلك البرمجيات الأمنية”.
حل المشكلة
في وقت سابق، قالت Microsoft إن خدمات السحابة الخاصة بها قد استعيدت بعد انقطاع أثر على خدمات Azure وحزمة تطبيقات Microsoft 365 في منطقة الولايات المتحدة الوسطى. وذكر متحدث باسم الشركة أن هذه قضايا مختلفة وغير مرتبطة — تتعلق إحداها بـ Azure والأخرى مرتبطة بـ CrowdStrike.
وأضاف المتحدث: “نتوقع حلًا قريبًا” فيما يتعلق بمشكلة CrowdStrike.
قال جورج كورتز، الرئيس التنفيذي لـ CrowdStrike، في تحديث على منصة التواصل الاجتماعي X يوم الجمعة، إن الشركة “تعمل بنشاط مع العملاء المتأثرين بخلل تم العثور عليه في تحديث محتوى واحد للمضيفين الذين يستخدمون Windows”. وأضاف أن المضيفين الذين يستخدمون Mac وLinux لم يتأثروا.
وأكد كورتز: “هذه ليست حادثة أمنية أو هجومًا سيبرانيًا. تم تحديد المشكلة وعزلها وتم نشر إصلاح”.
ومع ذلك، قد يكون تنفيذ هذا الإصلاح صعبًا. وقال آندي غريلاند، رئيس أمن المعلومات في شركة Silobreaker، إن المهندسين سيكونون بحاجة إلى الدخول إلى كل مركز بيانات فردي يعمل بنظام Windows لتطبيق الإصلاح، حيث سيحتاجون إلى تسجيل الدخول، والتوجه إلى ملف معين لـ CrowdStrike، وحذفه، ثم إعادة تشغيل النظام بأكمله.
وأضاف: “عندما تكون الأجهزة مشفرة، يجب إدخال مفاتيح تشفير معقدة يدويًا أيضًا. إلا إذا قامت Microsoft وCrowdStrike (إذا كانتا مشتركتين) بشيء معجز، فقد يكون من الصعب التعافي من هذا”.