El 19 de julio de 2024, CrowdStrike lanzó una “actualización de contenido” a sus clientes que ejecutaban el agente para endpoints CrowdStrike Falcon en dispositivos Windows, lo que provocó interrupciones en organizaciones de todo el mundo en múltiples sectores, como viajes, banca, sanidad y comercio minorista.
Los actores de amenazas suelen utilizar las interrupciones e incidentes a gran escala como oportunidades para aprovecharse de las víctimas. En este post, aclaramos lo que Sophos entiende por lo ocurrido y respondemos a las principales preguntas de seguimiento de nuestros clientes y partners.
El objetivo de todas las empresas del sector de la ciberseguridad, tanto Sophos como sus competidores, es mantener seguras a las organizaciones y protegerlas de los atacantes. Aunque competimos entre nosotros en el escenario comercial, somos (lo más importante) una comunidad unida contra los ciberdelincuentes como enemigo común. Extendemos nuestro apoyo mutuo a CrowdStrike en estos momentos y deseamos a todas las organizaciones afectadas una rápida recuperación y vuelta a la normalidad.
La ciberseguridad es un panorama increíblemente complejo y en rápida evolución. “Para los que vivimos en el núcleo de la ciberseguridad, probablemente nos ha pasado alguna vez y sean cuales sean las medidas de precaución que tomemos, nunca serán efectivas al 100%” , dijo Joe Levy, CEO de Sophos, en LinkedIn.
Resumen del problema
-
Esto no fue el resultado de un incidente de seguridad en CrowdStrike y no fue un ciberataque.
-
Aunque no fue el resultado de un incidente de seguridad, la ciberseguridad consiste en la confidencialidad, la integridad y la disponibilidad. La disponibilidad se vio claramente afectada, por lo que se trata categóricamente de un fallo de ciberseguridad.
-
El problema, que provocó una pantalla azul de la muerte (BSOD) en máquinas Windows, fue causado por una actualización de “contenido” del producto distribuida a los clientes de CrowdStrike.
-
Las organizaciones que ejecutan agentes CrowdStrike Falcon en ordenadores y servidores Windows pueden haberse visto afectadas. Los dispositivos Linux y macOS no se vieron afectados por este incidente.
-
CrowdStrike identificó el despliegue de contenido relacionado con este problema y revirtió esos cambios. Se han emitido directrices de corrección para los clientes de CrowdStrike.
Nota sobre las actualizaciones de “contenido”
Se trataba de una típica actualización de “contenido” del software de seguridad de endpoints de CrowdStrike, el tipo de actualización que muchos proveedores de software (incluido Sophos) tienen que hacer con regularidad.
Las actualizaciones de contenido, a veces llamadas actualizaciones de protección, mejoran la lógica de protección de un producto de seguridad para endpoints y su capacidad para detectar las amenazas más recientes. En esta ocasión, una actualización de contenido de CrowdStrike tuvo importantes consecuencias imprevistas. Sin embargo, ningún proveedor de software es infalible, por lo que problemas como este pueden afectar (y afectan) a otros proveedores, independientemente del sector.
Respuesta de CrowdStrike
CrowdStrike ha emitido un comunicado en su sitio web con consejos sobre la reparación para sus clientes. Si te ves afectado por el problema o recibes consultas de tus clientes que utilizan CrowdStrike, consulta esta página oficial de CrowdStrike:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
Como siempre, la vigilancia es fundamental. Los ciberdelincuentes están registrando dominios potencialmente maliciosos (typo-squatting) y utilizando “CrowdStrike remediation” en campañas de phishing para intentar aprovecharse de las víctimas. Si contactas o te contactan de CrowdStrike, valida que estás hablando con un representante autorizado.
¿Se han visto afectados los clientes de Sophos por el incidente de CrowdStrike?
Los clientes que utilizan Sophos para la protección de endpoints, incluidos los que utilizan Sophos Endpoint con Sophos XDR o Sophos MDR, no se han visto afectados. Un pequeño número de clientes que utilizan el agente “Sensor XDR” de Sophos (disponible con Sophos XDR y Sophos MDR) como superposición sobre CrowdStrike Falcon puede haberse visto afectados.
¿Qué hace Sophos para mitigar el riesgo de sufrir una interrupción similar del servicio?
Todos los productos de protección de endpoints, incluido Sophos Endpoint, ofrecen actualizaciones periódicas del producto y publican continuamente actualizaciones de protección (contenido). Las amenazas se adaptan rápidamente y las actualizaciones puntuales de la lógica de protección son esenciales para mantenerse al día con el panorama de amenazas en constante evolución.
Tras más de tres décadas proporcionando soluciones líderes de protección de endpoints y habiendo aprendido muchas lecciones de anteriores incidentes de Sophos y del sector, Sophos cuenta con procesos y procedimientos sólidos para mitigar el riesgo de interrupción del servicio al cliente. Sin embargo, ese riesgo nunca es cero.
En Sophos, todas las actualizaciones de productos se prueban en entornos internos de control de calidad creados al efecto, antes de pasar a producción. Una vez en producción, las actualizaciones de productos se lanzan internamente a todos los empleados e infraestructuras de Sophos en todo el mundo.
Solo cuando se hayan completado todas las pruebas internas y estemos satisfechos de que la actualización cumple los criterios de calidad, la actualización se lanzará gradualmente a los clientes. El lanzamiento empezará lentamente, aumentando la velocidad y se escalonará en toda la base de clientes. La telemetría se recoge y analiza en tiempo real. Si hay un problema con una actualización, solo se verá afectado un pequeño número de sistemas y Sophos puede revertirla muy rápidamente.
Los clientes pueden controlar opcionalmente las actualizaciones de productos de Sophos Endpoint (no las de protección) mediante la configuración de políticas de gestión de actualizaciones. Las opciones de paquetes de software incluyen Recomendado (gestionado por Sophos), Soporte a plazo fijo y Soporte a largo plazo, con la posibilidad de programar el día y la hora en que deben producirse las actualizaciones.
Al igual que con las actualizaciones de productos, todas las actualizaciones de contenido de Sophos Endpoint se prueban en nuestros entornos de control de calidad antes de pasar a producción y cada versión se revisa para garantizar que cumple nuestros estándares de calidad. Los lanzamientos de contenido a los clientes se escalonan como parte de nuestros controles continuos de control de calidad, y supervisamos y ajustamos los lanzamientos basándonos en la telemetría según sea necesario.
Sophos sigue un ciclo de vida de desarrollo seguro para garantizar que nuestras soluciones se crean de forma segura y eficaz, detallado en el Sophos Trust Center. Puedes encontrar más información sobre los principios de lanzamiento y desarrollo de Sophos Endpoint en nuestra base de conocimientos.