شرکت امنیت سایبری آمریکایی SentinelOne اعلام کرد که یک نقص نرم‌افزاری باعث قطعی هفت ساعته سرویس‌های این شرکت در روز پنجشنبه شد. این قطعی گسترده بر خدمات متعددی که به مشتریان ارائه می‌شود تأثیر گذاشت و SentinelOne آن را “اختلال جهانی در خدمات” توصیف کرد.

SentinelOne در پستی که روز پنجشنبه منتشر کرد، این قطعی را تأیید و به مشتریان اطمینان داد که سیستم‌های آنها همچنان محافظت می‌شوند. شرکت اعلام کرد: “نقاط پایانی مشتریان همچنان محافظت می‌شوند، اما خدمات پاسخ مدیریت شده دید کافی نخواهند داشت. گزارش‌دهی داده‌های تهدید با تأخیر مواجه شده، نه از دست رفته است. تحلیل اولیه علت ریشه‌ای ما نشان می‌دهد این یک حادثه امنیتی نیست.”

در تحلیل علت ریشه‌ای که دو روز بعد منتشر شد، شرکت تأیید کرد که علت اصلی حادثه حمله سایبری یا نقض امنیتی نبوده، بلکه یک نقص نرم‌افزاری در سیستم کنترل زیرساخت بوده که به طور خودکار مسیرهای شبکه حیاتی و قوانین DNS resolver را حذف کرده و باعث از کار افتادن اکثر خدمات در تمام مناطق شده است.

خدمات پس از آن متوقف شدند که تمام زیرساخت‌های اتصال مورد نیاز در دسترس قرار گرفتند. این اتفاق پس از آن رخ داد که نقصی در یک عملکرد مدیریت ابری در حال خروج منجر به بازیابی یک نسخه پشتیبان خالی از جدول مسیریابی AWS Transit Gateway شد.

SentinelOne توضیح داد: “ما در حال حاضر در فرآیند انتقال سیستم‌های تولید خود به معماری ابری جدیدی هستیم که بر اساس اصول زیرساخت به عنوان کد (IaC) ساخته شده است. این حذف پس از آن رخ داد که یک سیستم کنترل که قرار بود به زودی منسوخ شود، با ایجاد یک حساب جدید فعال شد.”

شرکت افزود: “یک نقص نرم‌افزاری در عملکرد مقایسه پیکربندی سیستم کنترل، ناهماهنگی‌ها را به اشتباه شناسایی کرد و آنچه را که تصور می‌کرد وضعیت پیکربندی مناسب است اعمال کرد و تنظیمات شبکه قبلی را بازنویسی کرد. از آنجایی که این سیستم کنترل در حال خروج دیگر منبع حقیقت ما برای پیکربندی‌های شبکه نیست، یک جدول مسیریابی خالی را بازیابی کرد.”

در نتیجه این قطعی، دسترسی برنامه‌نویسی به خدمات شرکت نیز قطع شد. همچنین خدمات مدیریت دارایی یکپارچه/موجودی و هویت نیز از کار افتادند و مشتریان را از مشاهده آسیب‌پذیری‌ها یا دسترسی به کنسول‌های هویت مسدود کردند.

شرکت اضافه کرد که این قطعی ممکن است بر دریافت داده‌ها از خدمات مختلف شخص ثالث و همچنین هشدارهای تشخیص و پاسخ مدیریت شده (MDR) تأثیر گذاشته باشد.

SentinelOne می‌گوید نقاط پایانی مشتریان محافظت شده باقی ماندند، حتی اگر تیم‌های امنیتی آنها نتوانستند به کنسول مدیریت SentinelOne وارد شوند، به داده‌های SentinelOne دسترسی پیدا کنند یا خدمات SentinelOne را مدیریت کنند.