بهروزرسانی جدید نرمافزار CrowdStrike Falcon باعث خرابی سیستمهای ویندوز شده است. این خرابیها بر روی سازمانها و خدمات مختلف در سراسر جهان، از جمله فرودگاهها، ایستگاههای تلویزیونی و بیمارستانها تأثیر گذاشته است.
این مشکل بر ایستگاههای کاری و سرورهای ویندوز تأثیر میگذارد و کاربران از قطعیهای عظیمی خبر میدهند که کل شرکتها ، فرودگاه ها و هزار کامپیوتر را آفلاین کرده است.
بر اساس برخی گزارش ها، خدمات اورژانس در ایالات متحده و کانادا نیز تحت تاثیر قرار گرفته است.
راهحل برای بهروزرسانی دارای نقص CrowdStrike
بعد از نصب بهروزرسانی جدید نرمافزار CrowdStrike Falcon Sensor، مشکلاتی در راهاندازی سیستمهای ویندوزی به وجود آمده است که باعث میشود سیستم یا نتواند به طور کامل بوت شود و در یک چرخهی تکراری قرار گیرد یا به صفحهی خطای جدیای برسد که به آن صفحه آبی مرگ گفته میشود.
شرکت امنیتی متوجه مشکل شده، توضیح داده که مهندسانش یک تغییر در محتوای نرمافزار که باعث این مشکل شده بود را شناسایی کرده و آن تغییرات را به حالت قبلی برگرداندهاند تا مشکل حل شود.
شرکت CrowdStrike در هشدار فنی خود اعلام کرده است که علائم این مشکل شامل بروز خطای بررسی باگ یا صفحه آبی مرگ در سیستمهای میزبانی است که با Falcon Sensor مرتبط است.
به گزارش این شرکت ؛ مشکل به یک فایل خاص که جزئی از بهروزرسانی سنسور است مربوط میشود و این فایل را میتوان بهتنهایی اصلاح کرد بدون اینکه لازم باشد کل بهروزرسانی Falcon Sensor حذف شود.
شرکت CrowStrike برای کسانی که دچار این مشکل شده اند مراحل زیر را قرار داده است :
- ویندوز را در حالت Safe Mode یا Windows Recovery Environment بوت کنید
- به دایرکتوری C:\Windows\System32\drivers\CrowdStrike بروید
- فایل C-00000291*.sys را پیدا کرده و آن را حذف کنید.
- سیستم را به طور معمول بوت کنید.
George Kurtz رئیس و مدیرعامل CrowdStrike اعلام کرده است که شرکت در حال همکاری با مشتریان برای حل مشکل است و تأیید کرده که مشکلات به دلیل وجود یک نقص در یک بهروزرسانی محتوایی خاص برای سیستمهای ویندوزی رخ داده است.
George Kurtz توصیه کرد که سازمانها حتماً از راههای رسمی با نمایندگان CrowdStrike ارتباط برقرار کنند و اطمینان میدهد که تیم آنها بهطور کامل آماده است تا امنیت و پایداری مشتریانشان را حفظ کند.
مدیرعامل CrowdStrike اعلام کرده است که مشکلی که پیش آمده است، اکنون یک راهحل دارد و مشتریان باید به پورتال پشتیبانی شرکت مراجعه کنند تا آخرین بهروزرسانیها و اطلاعات مربوطه را دریافت کنند.
شرکت CrowdStrike اعلام کرده است که فایل کانال مشکلساز( C-00000291*.sys ) با یک نسخه قدیمیتر جایگزین شده و نسخه صحیح فایل( C-00000291*.sys )، قرار گرفت.
این شرکت همچنین دو گزینه برای رسیدگی به این مشکل در محیطهای ابری و مجازی ارائه میکند، یکی از این گزینهها بازگشت به snapshot قبل از ساعت ۰۴:۰۹ UTC است. گزینه دوم شامل مراحل زیر می باشد :
- حجم دیسک سیستم عامل را از سرور مجازی آسیب دیده جدا کنید
- برای احتیاط در برابر تغییرات ناخواسته، قبل از ادامه کار، یک snapshot یا نسخه پشتیبان از حجم دیسک ایجاد کنید.
- حجم (داده) را به یک سرور مجازی جدید متصل/نصب کنید.
- به مسیر %WINDIR%\System32\drivers\CrowdStrike بروید
- فایل C-00000291*.sys را پیدا کرده و آن را حذف کنید.
- حجم (داده) را از سرور مجازی جدید جدا کنید.
- حجم (دیسک) ثابت را مجدداً به سرور مجازی آسیبدیده متصل کنید.
قطعی (خدمات) به صورت جهانی به خطوط هوایی و بیمارستانها آسیب رسانده است.
با این حال، تا زمان اصلاح، بسیاری از سازمانهای بزرگ در بخشهای مختلف قبلاً تحت تأثیر قرار گرفته بودند.
برخی گزارشها میگویند که بهروزرسانی CrowdStrike بر برخی آژانسهای خدمات اضطراری ۹۱۱ در ایالت نیویورک (EMS، پلیس، آتشنشانی)، Alaska و Arizona و همچنین خدمات ۹۱۱ در بخشهایی از کانادا تأثیر گذاشته است.
به دلیل مشکل یا قطعی سیستمها، اپراتورهای اورژانس ۹۱۱ مجبور شدند به صورت دستی و با استفاده از کاغذ کار خود را انجام دهند تا زمانی که سیستمها دوباره به حالت عادی برگردند.
خط تلفن بهداشت در کاتالونیا دچار مشکل شده و مقامات محلی از مردم درخواست کردهاند که تنها در صورت اضطراری با شماره ۰۶۱ تماس بگیرند تا خط تلفن بیش از حد شلوغ نشود.
سازمان پخش هلند NOS گفت به دلیل یک مشکل فنی، در فرودگاه Schiphol اختلالاتی ایجاد شده و چندین پرواز شرکتهای هواپیمایی KLM و Transavia مجبور به ماندن روی زمین و انجام نشدن شدند.
فرودگاه ملبورن اعلام کرد که با «یک مشکل فناوری جهانی که بر روی مراحل چکاین برخی از خطوط هوایی تأثیر میگذارد» مواجه است. بیشترین آسیب به مسافرانی وارد شده است که با خطوط هوایی Jetstar و Scoot به مقصدهای بینالمللی پرواز میکنند.
فرودگاه زوریخ اعلام کرده است که پروازهایی که در حال حاضر در مسیر زوریخ هستند، میتوانند فرود بیایند، اما هیچ پروازی از فرودگاههای دیگر به سمت زوریخ بلند نمیشود و همچنین هیچ پروازی از زوریخ به آمریکا انجام نمیشود.
علاوه بر وجود تأخیر و لغو پروازها، مسافران باید مراحل چکاین را بهطور دستی انجام دهند.
سایر فرودگاههای تحت تاثیر این حادثه در Berlin, Barcelona, Brisbane, Edinburgh, Amsterdam و London هستند.
در ایالات متحده، اداره هوانوردی فدرال درخواستهایی برای کمک به چندین شرکت هواپیمایی (American Airlines, United, Delta) دریافت کرده است تا توقفهای زمینی را تا زمانی که «یک مشکل فنی که بر سیستمهای فناوری اطلاعات تأثیر میگذارد» حل شود، انجام دهد
در فرودگاههای JFK و LaGuardia در ایالات متحده، پروازها به دلیل قطعی بهروزرسانی CrowdStrike متوقف شدهاند و مسافران را سرگردان کردهاند.
صبح روز جمعه، چندین ایستگاه تلویزیونی و رسانههای خبری، مانند اسکای نیوز و ABC، دچار اختلال شدند زیرا کامپیوترها خراب شدند.
تعداد زیادی از کاربران شروع به ابراز نارضایتی خود در Reddit درباره دهها و حتی صدها هزار کامپیوتری که پس از بهروزرسانی CrowdStrike دچار خرابی و تاثیر منفی بر شرکت شدهاند را اعلام کردند.
چند نمونه از این کامنت ها در زیر بیان شده است :
- اینجا مالزی است، ۷۰٪ از لپتاپهای ما خراب شده و در حالت بوت گیر کردهاند، دفتر مرکزی در ژاپن دستور تعطیلی سراسری شرکت را داده است.
- ۲۱۰ هزار صفحه آبی مرگ (BSOD) همگی در ساعت ۱۰:۵۷ به وقت اقیانوس آرام (PST) رخ دادهاند… و تعدادشان همچنان افزایش مییابد… این خیلی بد است….
- ایستگاههای کاری و سرورها اینجا در استرالیا… ناوگانی بیش از ۵۰ هزار تا – کسی قرار است حسابی سرگرم شود
- اینجا در استرالیا هم دچار مشکل شدهایم. کل شرکت ما آفلاین است.
- اینجا در OZ هم همینطور، کل شرکت از کار افتاده است.
- نیمی از شرکت دچار مشکل شده است. به نوعی به سرورهای AWS ما نیز آسیب زده است. زمان خرابی عمده برای خدمات مشتریان ما رخ داده است.
- و…
با وجود اینکه یک اصلاحیه اعمال شده و CrowdStrike یک راهحل موقت برای میزبانهای ویندوزی که از قبل دچار خرابی شدهاند ارائه داده است، شرکتها برای مدتی تأثیرات این مشکل را احساس خواهند کرد.
مدیران سیستمها (یا مدیران شبکهها) در آخر هفته کاری طولانی و دشواری خواهند داشت، به ویژه در شرایطی که دارای ناوگانهای کامپیوتری شامل دهها یا صدها هزار کامپیوتر باشند، کارکنان به صورت دورکاری مشغول به کار باشند، مراکز داده خارج از محل شرکت باشند یا از محیطهای ابری استفاده شود که در این موارد امکان راهاندازی سیستم در حالت امن (safe mode) وجود ندارد.
در تاریخ و زمان مشخصشده [July 19, 09:59 ET] ، مقالهای ویرایش شده و اطلاعاتی درباره راههای کاهش خطرات یا مشکلات در محیطهای ابری و مجازی به آن اضافه شده است.