Düzinelerce kuruluştaki Windows sunucuları ve iş istasyonları, VMware’in Carbon Black uç nokta güvenlik çözümünün belirli sürümlerinin neden olduğu bir sorun nedeniyle bugün erken saatlerde çökmeye başladı.
Bazı raporlara göre, 50’den fazla kuruluştaki sistemler, bugün saat 15:00’ten (GMT+1) biraz sonra korkunç mavi ölüm ekranını (BSOD) göstermeye başladı.
Hatalı AV kural seti
Sorunun kökü, bugün Carbon Black Cloud Sensor 3.6.0.1979 – 3.8.0.398’e dağıtılan ve cihazların çökmesine ve başlangıçta mavi bir ekran göstererek bunlara erişimi reddetmesine neden olan bir kural kümesidir.
Sorundan etkilenen Microsoft Windows işletim sistemleri, Windows 10 x64, Server 2012 R2 x64, Server 2016 x64 ve Server 2019 x64’tür.
Sorundan etkilenen sistemlerde, durdurma kodu hatayı “PFN_LIST_CORRUPT” olarak tanımlayabilir.
S-RM Cyber için bir olay müdahale görevlisi olan Tim Geschwindt, BleepingComputer’a 15:30’dan (GMT+1) başlayarak müşterilerin sunucularının ve iş istasyonlarının çökmekte olduğundan şikayet etmeye başladıklarını ve Carbon Black’in hatalı olduğundan şüphelenmeye başladıklarını söyledi.
Araştırmadan sonra araştırmacı, Karbon Siyahı sensörü 3.7.0.1253 çalıştıran tüm istemcilerin etkilendiğini belirledi. “Cihazlarından hiçbirine önyükleme yapamadılar. Gitmeden tamamlayın,” dedi Geschwindt.
bir yönetici söz konusu “Yaklaşık 15:15 İngiltere saatinden itibaren mülkümüzde yaklaşık 500 uç nokta BSOD’si” olduğunu söyledi.
Carbon Black ve AV imza paketi 8.19.22.224 arasında bir çakışma olduğu görülüyor.
VMware açıklıyor bugün bir bilgi tabanında “güncellenmiş bir Tehdit Araştırması kural kümesi, dahili testler hiçbir sorun belirtisi göstermedikten sonra Prod01, Prod02, ProdEU, ProdSYD ve ProdNRT’ye sunuldu.”
Şu anda bir soruşturma devam ediyor ve sorunu ortadan kaldırması beklenen zahmetli kural seti geri alındı.
Geçici bir çözüm olarak VMware, sensörlerin Carbon Black Cloud Console aracılığıyla Bypass moduna alınmasını önerir. Bu, etkilenen aygıtların başarıyla önyüklenmesini sağlar, böylece hatalı kural kümesi kaldırılabilir.
VMware, bu sorunu yaşayan müşterilere bir destek vakası açmalarını ve şu bilgileri eklemelerini tavsiye ediyor: Org_Key, Cihaz Adları, Cihaz Kimlikleri ve İşletim Sistemleri.
Güncelleme [August 23rd, 17:50]: VMware, makaleyi yayınladıktan kısa bir süre sonra BleepingComputer için aşağıdaki ifadeyi sağlamıştır:
“VMware Carbon Black, sınırlı sayıda müşteri uç noktasını etkileyen ve belirli eski sensör sürümlerinin davranışsal önleme yeteneklerimizin güncellenmesinden etkilendiği bir sorunun farkındadır. Sorun tespit edildi ve düzeltildi ve VMware Carbon Black, etkilenen müşterilerle çalışıyor. “