Tại sao cập nhật CrowdStrike lại gây ra sự cố kỹ thuật toàn cầu?

Vào 19/7, bản cập nhật định kỳ phần mềm an ninh mạng được sử dụng rộng rãi của công ty CrowdStrike đã khiến nhiều hệ thống máy tính trên toàn cầu gặp sự cố. Theo phân tích của một số chuyên gia trong ngành, dường như bản cập nhật này đã không trải qua các đợt kiểm tra chất lượng đầy đủ trước khi được triển khai.

Phiên bản mới nhất của phần mềm Falcon Sensor được đưa ra với mục đích làm cho hệ thống của các khách hàng an toàn hơn trước rủi ro tin tặc, chủ yếu thông qua biện pháp cập nhật các mối đe doạ đối với hệ thống mà phần mềm đang bảo vệ.

Tuy nhiên, mã lỗi trong các tệp cập nhật đã dẫn đến một trong những sự cố kỹ thuật lớn nhất thế giới trong những năm gần đây đối với các công ty sử dụng hệ điều hành Windows của Microsoft.

Nhiều ngân hàng, hãng hàng không, bệnh viện và văn phòng chính phủ trên toàn cầu đã bị ảnh hưởng. CrowdStrike ngay lập tức phát hành thông tin để khắc phục các hệ thống bị ảnh hưởng, nhưng một số chuyên gia cho biết việc khôi phục lại hoạt động sẽ mất thời gian vì cần phải loại bỏ mã lỗi một cách thủ công.

"Có vẻ như, trong quá trình kiểm tra hoặc thử nghiệm mã, tệp tin này đã không được đưa vào hoặc bị bỏ qua”, Steve Cobb, Giám đốc an ninh tại Security Scorecard dự đoán. Security Scorecard cũng có một số hệ thống bị ảnh hưởng bởi sự cố.

Các vấn đề nhanh chóng được phát hiện sau khi bản cập nhật được triển khai vào thứ Sáu. Trên mạng xã hội, hàng loạt người dùng đã đăng tải hình ảnh máy tính với màn hình xanh hiển thị thông báo lỗi. Trong ngành CNTT, tình trạng này được gọi là "màn hình xanh chết chóc" (blue screen of death).

Patrick Wardle, một nhà nghiên cứu bảo mật chuyên về nghiên cứu các mối đe dọa đối với hệ điều hành, cho biết phân tích của ông đã xác định được mã gây ra sự cố. Cụ thể, vấn đề của bản cập nhật nằm trong một tệp chứa thông tin cấu hình hoặc chữ ký; theo đó những chữ ký này là mã giúp phát hiện các loại mã độc hại hoặc phần mềm độc hại cụ thể.

“Việc các sản phẩm bảo mật cập nhật chữ ký là rất phổ biến, chẳng hạn như một lần một ngày… bởi vì chúng liên tục theo dõi các phần mềm độc hại mới và để đảm bảo rằng khách hàng được bảo vệ trước các mối đe doạ”, ông Wardle giải thích.

Chính vì lý do cập nhật với tần suất thường xuyên như vậy mà CrowdStrike có thể đã không kiểm tra kỹ càng các bản cập nhật. Hiện tại vẫn chưa rõ mã lỗi đó đã xâm nhập vào bản cập nhật như thế nào và tại sao nó không được phát hiện trước khi phát hành cho khách hàng.

“Đáng nhẽ ra họ nên triển khai bản cập nhật này cho một nhóm người dùng cụ thể trước đã. Điều đó sẽ an toàn và tránh được một rắc rối lớn như thế này”, John Hammond, nhà nghiên cứu bảo mật chính tại Huntress Labs nhận xét.

Các công ty bảo mật khác cũng từng gặp phải những sự cố tương tự trong quá khứ. Bản cập nhật phần mềm diệt virus của McAfee vào năm 2010 đã khiến hàng trăm nghìn máy tính bị treo trong nhiều giờ. Nhưng tác động toàn cầu của sự cố lần này cho thấy sự thống trị của CrowdStrike trên thị trường. Hơn một nửa số công ty Fortune 500 và nhiều cơ quan chính phủ, chẳng hạn như CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ), đều sử dụng phần mềm của CrowdStrike.

Trong phiên giao dịch 19/7, cổ phiếu của Crowdstrike lao dốc 11,1%, Microsoft giảm 0,74%.

Trước sự cố hôm qua, CrowdStrike đã có một chuỗi thành công rực rỡ. Trong báo cáo quý gần nhất, công ty đã đạt được mức tăng doanh thu 33% và EPS (lợi nhuận trên mỗi cổ phiếu) phi GAAP (đã điều chỉnh) tăng 63%.

Sự cố gián đoạn trên diện rộng và các vấn đề liên quan có thể khiến CrowdStrike gặp khó khăn hơn trong việc thu hút khách hàng mới và xây dựng mối quan hệ với những khách hàng hiện tại. Cũng có khả năng sự cố này có thể khiến công ty phải chịu một số trách nhiệm pháp lý. Tuy nhiên, các dịch vụ của công ty vẫn được đánh giá cao và tính chất gắn kết của nền tảng cùng với chi phí chuyển đổi cao có thể giúp giảm thiểu áp lực cạnh tranh.