Trasporti, banche, emittenti televisive, supermercati e molte altre aziende in tutto il mondo sono rimasti bloccati da questa notte a causa di un aggiornamento problematico di Falcon Sensor, un componente della soluzione di cybersecurity di CrowdStrike.
Autore: Redazione SecurityOpenLab
Non è un attacco cyber ad avere bloccato i voli aerei di mezzo pianeta, la Borsa di Londra e altri importanti servizi pubblici. I numerosi disservizi che si stanno verificando da questa notte in diversi Paesi sono riconducibili a un problema intercorso nell’aggiornamento di Falcon Sensor, l’agent della soluzione CrowdStrike di endpoint protection a cui è deputato il blocco degli attacchi informatici ai sistemi. È il componente principale di una soluzione di sicurezza popolare in ambito enterprise, da qui l’effetto domino con blocchi dei servizi che hanno interessato decine di importanti aziende. I computer interessati si sono bloccati in un loop che portava ogni riavvio a bloccarsi su una schermata blu (Blue Screen of Death) senza via d'uscita.
I problemi maggiori riguardano i trasporti: la BBC riferisce di oltre mille voli bloccati in tutto il mondo. Negli Stati Uniti gli aerei di United, Delta e American Airlines sono rimasti a terra; in Europa i problemi riguardano Wizz Air, Ryanair, l'ente di gestione aeroportuale spagnolo Aena; in Australia e a Hong Kong si segnalano rilevanti blocchi dei voli. Al di là dei trasporti sono stati coinvolti la Borsa di Londra, i servizi di emergenza dell’Alaska, banche, emittenti televisive (Sky News non è stata in grado di trasmettere per ore), supermercati e molte altre aziende in tutto il mondo.
Con i tempi che corrono sono stati in molti a pensare prima di tutto a un attacco informatico su larga scala. Anzi, dato che tutti i sistemi coinvolti sono basati sul sistema operativo Windows, va da sé che la prima ad essere stata chiamata in causa sia stata Microsoft. Le verifiche del caso, iniziate nella notte italiana fra giovedì 18 e venerdì 19 luglio, hanno però scaricato l’azienda di Redmond da ogni responsabilità.
CrowdStrike non ha pubblicato al momento informazioni dettagliate su quanto accaduto. È stato però diffuso un post tramite X in cui si spiega che CrowdStrike sta lavorando con i clienti interessati, che il problema è effettivamente legato a un update e che impatta solo i sistemi Windows, mentre sono esclusi quelli Mac e Linux. "Il problema è stato identificato, isolato ed è stata implementata una soluzione" riporta il messaggio - sottolineando poi che "tutto il team è completamente mobilitato per garantire la sicurezza e la stabilità dei clienti CrowdStrike".
In un thread di Reddit, centinaia di amministratori IT stanno segnalando, oltre ai problemi, i possibili passaggi da eseguire per risolvere il problema, fra cui l'avvio dei sistemi bloccati in modalità provvisoria e la navigazione nella directory di CrowdStrike (C:\Windows\System32\drivers\CrowdStrike) con la successiva eliminazione di quello che sembra essere l’unico file difettoso: C-00000291*.sys.
Un update problematico non è certo una novità. Negli anni gli utenti aziendali ne hanno affrontati innumerevoli, da parte di decine di fornitori più o meno importanti, con conseguenze più o meno gravi. In questo caso specifico abbiamo riportato la notizia perché questo sito si occupa di cybersecurity e l’update buggato riguarda un fornitore di cybersecurity, la cui importanza è testimoniata dal numero e dal tipo di aziende interessate dal problema.
Ma non solo. Quanto accaduto nelle ultime ore è un ottimo spunto di riflessione per fare mente locale sulla fragilità dei nostri sistemi digitali e sulle implicazioni che un problema nella sfera digitale riversa sulla parte analogica della nostra società. Se le indicazioni di mitigazione che stanno girando in rete sono corrette, è stato sufficiente un singolo file difettoso per bloccare i trasporti, creare problemi ai mercati finanziari, ai media e molto altro. Questo fa capire come l’attenzione, anche maniacale, al dettaglio sia ormai una necessità.
Allo stesso tempo fa capire come possa essere semplice creare un danno consistente per un attaccante che volesse ottenere di proposito questo risultato. E di conseguenza come, nonostante quanto accaduto oggi, si debba continuare ad avere fiducia nella cybersecurity e riconoscere alla sicurezza informatica un ruolo primario per il funzionamento della nostra società, oltre che delle singole realtà produttrici.
Quello che non dovrebbe auspicabilmente accadere in seguito al problema delle ultime ore è che le aziende si rifugino nuovamente (o continuino a farlo) nel rischioso approccio di ignorare o posticipare gli aggiornamenti software: è vero che il blocco dei sistemi, con il conseguente blocco dei servizi e delle attività aziendali, è uno degli eventi più temuti dai team IT di tutto il mondo. Ma è altrettanto vero che il blocco causato ai clienti di CrowdStrike dall’update difettoso sta rientrando dopo poche ore. Se questo stesso blocco fosse stato causato da un attacco cyber riuscito, probabilmente sarebbero stati necessari giorni per un ritorno all’operatività. Basti ricordare l’attacco a Colonial Pipeline, per citare un esempio a caso. Per questo fare perno sulla cybersecurity è e deve continuare ad essere una premessa per la crescita del business di tutte le aziende, e per la tutela di servizi e cittadini nell’ambito di una società sicura e affidabile.