CrowdStrike – Global Incident

Lo scorso venerdì 19 luglio, la nota azienda software americana CrowdStrike ha provocato un crash su scala mondiale di computer con sistema operativo Windows, impattando sistemi critici di banche, ospedali, trasporti..con conseguente blocco temporaneo dell’operatività quotidiana.

La causa? Un aggiornamento errato della piattaforma AV/EDR Falcon Sensor, rilasciato come configuration update alle 04:09 UTC, che ha comportato il trigger di un errore logico sul OS con conseguente BSOD:

The content is a channel file located in the %WINDIR%\System32\drivers\CrowdStrike directory.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0527 UTC or later is the reverted (good) version.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0409 UTC is the problematic version.

Come dichiarato in una nota ufficiale dall’azienda https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/, l’aggiornamento è stato corretto alle 05:27 UTC, ma ormai la diffusione del crash era globale.

L’azienda ha successivamente diffuso una procedura per identificare i client Windows coinvolti , nonché un piano di remediation, consigliando di effettuare un reboot ed acquisire la versione corretta del file. Altra possibilità è quella di seguire la procedura Microsoft per entrare in safe mode e cancellare il file incriminato, o in alternativa effettuare il restore del sistema (attenzione ad eventuale chiave Bitlocker presente).

EDIT: è stato rilasciato da Microsoft anche un recovery tool ufficiale per automatizzare il processo di remediation.

Il problema ha impattato non solo pc fisici, ma anche istanze Windows in cloud. Di seguito alcuni link ufficiali per la remediation, come ad esempio Azure e AWS.

In ogni caso, se le istanze problematiche sono protette con software di backup, è sempre possibile effettuare un restore alla versione valida più recente.


Questo evento ci ricorda come il mondo di oggi sia estremamente legato alla tecnologia, ed ai possibili errori umani che, se non limitati, possono portare a conseguenze disastrose.

VeeamON 2024 Recap

INTRO

La scorsa settimana a Fort Lauderdale, in Florida, si è svolto il VeeamON 2024, come tutti gli anni l’evento più atteso e importante organizzato da Veeam Software.

Quest’anno l’evento è stato particolarmente ricco di annunci, e non sono mancate le sorprese.

Molte demo e sessioni tecniche, anche se non tutte disponibili per chi come me ha seguito tutto da remoto.

La visione di Veeam continua ad essere incentrata sulla resilienza del dato, grazie a 5 strategie principali: Data Backup, Data Freedom, Data Recovery, Data Security e Data Intelligence.

LE NOVITÀ

Iniziando ad approfondire il tema Data Backup, la parte core dedicata alla protezione e al salvataggio del dato, sono state presentate ufficialmente le nuove versioni di alcune soluzioni.

  • Oracle Linux Virtualization Manager (oVirt): già disponibile da qualche settimana il supporto nativo per OLVM, piattaforma di virtualizzazione basata su KVM
  • Proxmox VE: annunciata qualche settimana fa la compatibilità con questo virtualizzatore, durante il VeeamON 2024 è stata presentata la prima demo, con la soluzione Veeam che si preannuncia 3 volte più veloce della soluzione di backup nativa. L’uscita ufficiale è prevista per il prossimo Q3 2024
  • VBA v7: preannunciate alcune nuove funzionalità per la futura versione di Veeam Backup per Azure, tra cui l’introduzione del supporto per Cosmos DB
  • Veeam Backup for AWS v8: nuove features anche per la soluzione di backup del cloud Amazon, che introducono, ad esempio, il supporto per Redshift e FSx
  • VBM365 v8: molte novità anche per Veeam Backup for Microsoft 365, in uscita probabilmente il prossimo Q3 2024, tra le quali MFA for console, proxy pools, immutability for backup, restore operator audit in Veeam ONE
  • Veeam Backup for Salesforce v3: ulteriori funzionalità anche per questa soluzione, in cui sarà introdotto il supporto per data encryption, data archive e data pipeline
  • K10 v7: non poteva certo mancare una overview sulla nuova versione di Kasten, che include, tra le varie, il supporto per i FIPS-Enabled Clusters, per Azure Blob Immutability e per le VM su Openshift.

Passiamo ora alle sorprese, che come anticipato, non sono mancate. Tra le novità annunciate, spiccano senza ombra di dubbio:

  • VBR server su OS Linux a partire dalla v13, con le funzionalità specifiche di zero trust architecture nativa, e supporto per HA del Config DB, che aggiungerà quel livello di resilienza e di automatismo al software che ad oggi per certi versi mancava
  • Entra ID Backup, soluzione che sarà integrata in Veeam B&R, per proteggere i dati, come ad esempio utenti, gruppi e app registration, della soluzione cloud based di identity/access management di Microsoft (Q4 2024)
  • Mongo DB Plugin, che va ad incrementare il pacchetto di applicazioni enterprise supportate nativamente (Q3 2024)
  • Lenovo TruSacle Backup, che intregrerà Veeam Backup & Replication e Veeam ONE nelle soluzioni di Lenovo ThinkSystem per i backup on-premise

Come sappiamo, inoltre, Veeam ha recentemente espanso il proprio ventaglio di soluzioni introducendo dei servizi completamente SaaS, ulteriormente approfonditi in questi tre giorni di evento, tra cui:

  • Veeam Data Cloud for M365, soluzione preconfigurata per il backup di Microsoft 365, con un modello di costo prevedibile (per user/spazio illimitato)
  • Veeam Data Cloud for Azure, soluzione di backup per Microsoft Azure, nativa ed ottimizata
  • Veeam Vault,cloud storage completamente gestito, con tariffe flat/TB, incluso costi per api call ed eventuale traffico di uscita

Passiamo alle strategie Data Freedom e Data Recovery, ovvero l’abilità di Veeam di utilizzare il proprio formato per spostare un dato da una piattaforma verso un’altra, consentendo di bypassare il cosidetto “vendor lock-in”.

In questa sezione possiamo menzionare l’annuncio di ulteriori novità per la futura versione di VRO (Veeam Recovery Orchestrator).

Per quanto riguarda la Data Security, ovvero quella componente strategica attraverso la quale Veeam e le sue soluzioni aiutano il dato ad essere resiliente ai sempre più diffusi attacchi cyber, ampio spazio è stato dato a Coveware, azienda specializzata in incident response acquisita da Veeam lo scorso aprile 2024.

In particolare, è stato approfondito il ruolo chiave che può avere in una fase di Cyber Recovery, poiché offre servizi quali:

  • Assessment
  • Analisi Forense
  • Identificazione tipologia di ransomware e impatto sull’organizzazione del cliente
  • Negoziazione con i criminali informatici
  • Bonifica e documentazione dell’incident

Sempre in ambito Data Security, da menzionare inoltre la nuova partnership con Palo Alto per la SIEM integration.

Parlando di Data Intelligence, un’altra grossa sorpresa presentata è stata l’ufficializzazione della partnership con Microsoft per l’integrazione di Copilot AI con le soluzioni Veeam.

Non possiamo non menzionare, infine, altri miglioramenti e sviluppi annunciati su Veeam ONE, Veeam AI assistant, Linux Hardened Repository e Veeam Service Provider Console.

CONCLUSIONE

Insomma, le novità sono state tantissime, e sono certo che ci sarà l’occasione di approfondirne alcune nei prossimi post..STAY TUNED! 💚

Veeam – Proxmox Announcement

Questa settimana Veeam Software ha dato l’annuncio tanto atteso: a breve verrà rilasciato il supporto per Proxmox.

Che cos’è Proxmox, e perché tanto interesse dietro questa notizia?

Proxmox VE (Virtual Environment) è un virtualizzatore open-source basato su KVM, che consente di far girare sia virtual machine che architetture basate su container.

La recente acquisizione di VMware da parte di Broadcom, e le successive incognite circa le strategie future del leader mondiale dei sistemi di virtualizzazione, hanno spinto numerosi clienti a ricercare delle possibili alternative su cui puntare per le proprie infrastrutture.

Proprio per questo, nell’ultimo periodo è salito alla ribalta il nome di Proxmox, tanto che anche Veeam ha deciso di puntare sullo sviluppo dell’integrazione con questo nuovo hypervisor.

La prima demo ufficiale sarà presentata al VeeamON 2024 che si terrà in Florida il prossimo 3-5 giugno.

Se non siete ancora registrati potete farlo qui.

Buon lavoro! 💚

Linux xz lbrary vulnerability

Lo scorso venerdì è stata segnalata una vulnerabilità importante sulla libreria xz, utilizzata da alcune distribuzione Linux come programma di compressione dati.

Nello specifico, il codice sorgente presente su Github è stato infettato con del codice malevolo opportunamente offuscato, che consente agli attaccanti di creare una backdoor per accedere in ssh ai sistemi infettati.

La CVE è al momento catalogata dal NIST con criticità 10.0, ovvero massima:

https://nvd.nist.gov/vuln/detail/CVE-2024-3094

La vulnerabilità, scoperta quasi per caso da uno sviluppatore Microsoft, è presente nelle versioni 5.6.0 – 5.6.1

Si consiglia pertanto di effettuare il downgrade della versione della libreria xz nei sistemi che presentano tale release, o di disinstallarlo se non utilizzato.

Di seguito anche la nota ufficiale di Red Hat:

https://access.redhat.com/security/cve/CVE-2024-3094

WBD 2024

Oggi, 31 marzo, è il giorno del World Backup Day 2024!

Questa ricorrenza, iniziata ormai nel lontano 2011, vuole sensibilizzare con una commemorazione annuale le aziende, ma anche le singole persone, sull’importanza di avere i propri dati salvati e al sicuro.

Se pensiamo a qualunque impresa nel mondo, piccola o grande, sappiamo con buona certezza che ogni giorno deve gestire dei dati per portare avanti il proprio lavoro. Anagrafiche, ordini, pagamenti sono alcuni esempi di attività indispensabili per una azienda, attività che necessitano di scrivere questi dati in dispositivi quasi sempre digitali, che siano server, storage o semplici computer.

Pensiamo ora a noi, ai nostri familiari, ai nostri amici. Chi di noi o dei nostri conoscenti non usa uno smartphone o un computer? Foto, video, messaggi, documenti importanti, tutto materiale prezioso che non vogliamo sicuramente perdere.

Ma che succederebbe se il computer all’improvviso si rompesse o ci rubassero il nostro smartphone? Non potremmo più recuperare i nostri dati, a meno che non avessimo prima fatto un backup!

Ebbene si, per ogni dato importante, è buona pratica effettuare almeno una seconda copia e tenerla in un posto sicuro. Cloud, hard disk esterni, chiavette usb sono alcuni esempi di dispositivi che possono aiutarci a salvare i nostri file importanti, un backup appunto!

A volte non ci rendiamo conto dell’importanza di una cosa finché non l’abbiamo persa, ma perché correre il rischio?

Il backup è la soluzione!

Microsoft OOB Updates

Microsoft ha rilasciato ieri un importante aggiornamento Out-Of-Band (OOB), ovvero una fix di emergenza da installare prima dei prossimi update di aprile, per Windows Server versioni 2022, 2016 e 2012 (non ancora disponibile per la versione 2019).

Questo update corregge un know issue che è stato identificato nell’ultimo update di marzo: il problema affligge il servizio LSASS degli Active Directory Domain Controllers, in cui un memory leak durante le richieste di autenticazione kerberos può causare il crash del servizio e il reboot inaspettato del server.

Microsoft consiglia di installare subito l’aggiornamento nel caso il sistema rientri nella casistica descritta.

https://learn.microsoft.com/en-us/windows/release-health/status-windows-server-2022#3271msgdesc

Di seguito le KB di riferimento per le specifiche versioni:

Windows Server 2022KB5037422

Windows Server 2019: KB5037425

Windows Server 2016KB5037423

Windows Server 2012 R2KB5037426

EDIT: la patch per Windows Server 2019 è stata rilasciata nella giornata di ieri.