LINUX.ORG.RU
ФорумTalks

Corporate spyware по всему миру крешит linux

 , ,


0

1

По мотивам темы Corporate spyware по всему миру крешит винду

В июне 2024 года техподдержка Red Hat предупреждала разработчиков и корпоративных клиентов о проблеме, вызывающей критический сбой (Kernel Panic) в версии Red Hat Enterprise Linux 9.4 после установки обновления, которое является частью механизмов поведенческой защиты, используемой для сенсоров Falcon ПО CrowdStrike.

Ранее стало известно, что обновление ПО CrowdStrike сломало серверные сборки на Debian и Rocky Linux в апреле и мае этого года. Но этого особо никто не заметил, кроме нескольких клиентов. ИБ-разработчики неделями тянули с закрытием тикетов и писали отписки клиентам, долго выпускав нужный патч. Пользователи тогда заметили, что уровень тестирования и техподдержки в CrowdStrike оставляет желать лучшего. Хотя защитные сервисы этого разработчика используют 29 тыс. крупных компаний в мире, включая 500 из списка Fortune 1000. Оказалось, что большая часть из них предпочитает Windows , а техподдержка CrowdStrike оперативно реагирует только при глобальной проблеме.

В апреле обновление CrowdStrike привело к одновременному сбою всех серверов Debian Linux в гражданской технической лаборатории. Из-за инцидента IT-системы отказались загружаться без оперативных действий системных администраторов. Обновление CrowdStrike оказалось несовместимым с последней стабильной версией Debian, несмотря на то, что предположительно разработчиками поддерживалась конкретная конфигурация Linux. ИТ-команда лаборатории обнаружила, что удаление кода ПО CrowdStrike позволяет серверам на Linux загружаться штатно, и сообщила об инциденте ИБ-разработчикам.

В мае пользователи CrowdStrike также сообщали о подобных проблемах после обновления до RockyLinux 9.4, когда их серверы зависали из-за ошибки ядра. Служба поддержки Crowdstrike признала наличие проблемы, подчеркнув неадекватное тестирование и недостаточное внимание к проблемам совместимости в различных операционных системах.

https://habr.com/ru/news/830550/

cocucka_B_TECTE зря злорадствовал, линукс тоже зацепило, просто его в мире мало

★★★★★

Последнее исправление: vasya_pupkin (всего исправлений: 1)
Ответ на: комментарий от t184256

eBPF program causes kernel panic on kernels 5.14.0-410+

Below is an example of a kernel panic on the falcon-sensor process, observed after booting on kernel version 5.14.0-427.13.1.el9_4.x86_64

https://access.redhat.com/solutions/7068083

vasya_pupkin ★★★★★
() автор топика
Последнее исправление: vasya_pupkin (всего исправлений: 1)

Я всё жду, когда очередной миллиард серваков прицельно поимеют именно через отверстие в каком-нибудь популярном ИБшном говне. И я обязательно дождусь.

thesis ★★★★★
()

cocucka_B_TECTE зря злорадствовал, линукс тоже зацепило, просто его в мире мало

Так это эталонное красноглазие: ничего не вижу, ничего не знаю кроме своего никому нахрен не сдавшегося локалхоста на арче/слаке/генту.

seiken ★★★★★
()
Ответ на: комментарий от petyanamlt

Тут же дело не столько в астре, сколько в желании ставить в свои системы зонд от какого-то дяди.

seiken ★★★★★
()

На сколько я понял, только те виндовые системы крешились, которые были включены в момент обновления, а потом они быстро сообразили, что что-то не так, и отменили рассылку апдейта. Потому что мой ноут на 11й, находящийся во сне, и поднятый из сна в примерно 8 CET никакого крэша не словил.

seiken ★★★★★
()

Как я и [url=https://www.linux.org.ru/forum/talks/17681625?cid=17681936]говорил в прошлой теме[/url], дело тут не в винде или линуксе, а в добровольной установке удалённо управляемого руткита на свои компьютеры. Да ещё и там, где их работа критична. Вопрос здесь лишь в том, научит это чему-то людей или нет.

CrX ★★★★★
()

cocucka_B_TECTE зря злорадствовал, линукс тоже зацепило, просто его в мире мало

Теперь будет разжалован до cocucka_B_КЛЯРЕ...

Smacker ★★★★★
()
Ответ на: комментарий от seiken

Потому что мой ноут на 11й, находящийся во сне, и поднятый из сна в примерно 8 CET никакого крэша не словил.

А зачем ты на свой ноут это говно(crowdstrike) ставил? Или это корпоративный?

Loki13 ★★★★★
()

обновление ПО CrowdStrike сломало серверные сборки на Debian и Rocky Linux

ПО CrowdStrike

Должны страдать.

thunar ★★★★★
()

линукс тоже зацепило, просто его в мире мало

просто его администраторы сами вычленили проблему. нашли способ ее решить и пытались донести до разработчиков которые сидели на жопе, а не как видновые админы доменов: «Все сломалось, у нас лапки, ждем патчей от MS»

Kolins ★★★★
()
Ответ на: комментарий от Loki13

Корпоративный. На виндовом там ещё один зонд от другого производителя. И на Линукс в офисе обязали это стервятник-сенсор ставить, и ещё какой-то третий зонд.

seiken ★★★★★
()
Последнее исправление: seiken (всего исправлений: 1)
Ответ на: комментарий от CrX

Удалённое управление необходимо. Зловред это или инструмент администратора определяется только ситуацией. Ну давайте AD или, там, ансибл запретим сразу - чо мелочиться?

yu-boot ★★★★★
()
Ответ на: комментарий от petyanamlt

Астра - это железобетон. В том смысле, что даже если что-то случится, информация об этом не появится в открытом доступе.

greenman ★★★★★
()
Ответ на: комментарий от yu-boot

Дело не в удалённом управлении как таковом, а в удалённом управлении хреном с горы, а не сотрудником компании.

CrX ★★★★★
()
Ответ на: комментарий от CrX

Допустим ты отдал своё айти на аутсорс. Хрену с горы просто для выполнения нужной работы понадобится удалённое управление твоими тачками. Если ты в курсе и ты на это согласен, это не зловред.

Вспомнилось, как в районе 2000 года разработчики троянов под win их пытались продавать как легальный софт для удалённого администрирования :)

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Допустим ты отдал своё айти на аутсорс.

А вот не надо этого делать, если у тебя больница или аэропорт или ещё что-то критически важное.

CrX ★★★★★
()

Мораль истории очень проста - не используй энтерпрайзное говно вообще никогда, тем более ИБшное говно, тем более от мутных контор связанных с Израилем.

Но энтерпрайз не будет энтерпрайзом, если он не будет использовать энетрпрайзное говно. :)

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

не используй энтерпрайзное говно

На локалхосте никто и не использует энтерпрайзное говно, а сам энтерпрайз тебя слушать не будет)

goingUp ★★★★★
()
Ответ на: комментарий от goingUp

Вообще-то я и есть энтерпрайз. Просто не использую энтерпрайзное говно, поэтому уже почти 30 лет на плаву в весьма конкурентной области. Пока конкурент лежит из-за своей любви к энетерпрайзному говну, его пользователи бегут к нам. :) Будь я лицемером, я бы наоборот лукаво топил бы за энтерпрайзное говно, но совесть не позволяет.

Stanson ★★★★★
()

обновление ПО CrowdStrike сломало серверные сборки

Прочитал как

сломало серверные стойки

аж вспотел от страха... :D

xwicked ★★☆
()
Ответ на: комментарий от Smacker

Теперь будет разжалован до cocucka_B_КЛЯРЕ...

Сосиска_в_деве, в фиг ему стать сосиской_в_проде

ya-betmen ★★★★★
()
Ответ на: комментарий от CrX

а в удалённом управлении хреном с горы, а не сотрудником компании.

Если накосячит хрен с горы, на его контору можно натравить юротдел и там уж кто сборет. Если накосячит сотрудник, на него можно укоризненно посмотреть на планёрке и попросить больше так не делать.

ugoday ★★★★★
()
Ответ на: комментарий от seiken

только те виндовые системы крешились, которые были включены в момент обновления

Многие корпоративные машины включены по ночам и по выходным, чтобы ставить апдейты и перезагружаться, когда на них никто не работает, чтобы не мешать людям.

А у 11-й с месяц назад был другой проблемный апдейт, который нам все тестовые десктопы поломал.

question4 ★★★★★
()
Ответ на: комментарий от ugoday

Если накосячит сотрудник, на него можно укоризненно посмотреть на планёрке и попросить больше так не делать.

Можно и уволить по статье.

Но в данном случае пострадали те, кто тщательно соблюдал все инструкции и «best practices», поэтому да, их наказывать не за что. А вот на авторов рекомендаций можно только укоризненно смотреть через монитор.

question4 ★★★★★
()
Ответ на: комментарий от t184256

Насколько я помню, eBPF подразумевает исполнениt кода как часть ядра. Так что почему бы и не уронить все к чертям?

Zhbert ★★★★★
()
Ответ на: комментарий от CrX

Вопрос здесь лишь в том, научит это чему-то людей или нет.

Нет. Внезапное удаление рабочих пространсв Слака в 2022 году ничему не научило смузихлебов, и они продолжили пользоваться им вплоть до вот щас. Потом внезапно что-то случилось, и слак всем разослал сообщения, что, все, удалим все нафиг через месяц. И вот только когда задергались.

Циска, помнится, управляемая чере облако, внезапно сделала все сети открытыми, просто потому что вот. И тоже это мало кого чему научило, продолжили жрать эти их облака.

Zhbert ★★★★★
()
Ответ на: комментарий от rechnick

Не, просто никому это не интересно, а все полтора специалиста по этой поделке сидят на отдельном форуме.

Zhbert ★★★★★
()
Ответ на: комментарий от pekmop1024

Да, мы так и сделали. В этот раз. А в прошлый они просто молча грохнули наглухо и все, насколько я помню.

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

Потому что это не модуль ядра, где ты дергаешь что хочешь и суету наводишь. Это тугой сэндбокс, где eBPF verifier, весь такой разбезопасный, не даёт развернуться, просчитывает все возможные пути исполнения и ни чихнуть, ни ноль разыменовать тебе не даст ещё до загрузки.

Но в интернете пишут, что ребят из Crowdstrike такими мелочам не остановишь: они и eBPF пробу запилили, и кастомный модуль.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Ну дык правильно, сдуру можно и буй сломать.

Zhbert ★★★★★
()
Ответ на: комментарий от question4

Серверные - да. А мой лэптоп я лично всегда в хибернейт перевожу.

seiken ★★★★★
()
Ответ на: комментарий от Zhbert

для чего она, кстати

Вот мне тоже интересно. Зачем народ этим говном обмазывается. Да ещё так массово. Что это за херобора без которой жить нельзя.

no-such-file ★★★★★
()
Последнее исправление: no-such-file (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)