Bulut Güvenliği, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Teknoloji Devi, Saldırıyı Azaltmaktaki Başarısızlığın Nedeni Olarak DDoS Savunma Uygulama Hatasını Suçladı
Mathew J. Schwartz (euroinfosec) •
31 Temmuz 2024
Microsoft, Salı günü yaşanan yaygın kesintinin, dağıtılmış hizmet engelleme saldırılarının yanı sıra kendi BT hatalarından kaynaklandığını açıkladı.
Ayrıca bakınız: Küresel Tehdit Raporu 2024: Yönetici Özeti
Şirket, DDoS saldırısının Azure Front Door ve Azure İçerik Dağıtım Ağı bileşenlerini alt üst ettiğini ve “aralıklı hatalara, zaman aşımına ve gecikme artışlarına” yol açtığını söyledi. Microsoft, AFD’yi Azure bulut bilişim platformuna yönelik DDoS saldırılarını azaltmak için tasarlanmış bir içerik dağıtım ağı olarak tanımlıyor. Saldırı trafiğini dünya çapında 192 uç varlık noktasına dağıtarak “büyük hacimli saldırıları engellemesini ve coğrafi olarak izole etmesini” sağlıyor.
Şirket, Salı günü hizmeti geri yükledikten sonra yaptığı açıklamada, saldırının Microsoft’un DDoS savunmalarını tetiklediğini ancak “ilk incelemelerin, savunmamızın uygulanmasındaki bir hatanın saldırının etkisini azaltmak yerine artırdığını” belirtti.
Microsoft’un Azure durum geçmişi sayfası, olayın yaklaşık 11:45 UTC’de başladığını ve 19:43 UTC’de sona erdiğini gösteriyor. Bilişim devi, “Müşterilerin bir alt kümesi, küresel olarak Microsoft hizmetlerinin bir alt kümesine bağlanırken sorunlar yaşamış olabilir” dedi.
Azure ve Microsoft 365 kesintisi, hatalı bir CrowdStrike güncellemesinin 8,5 milyon Windows PC, sunucu ve sanal makineyi çökerterek küresel kaosa yol açmasından iki haftadan kısa bir süre sonra geldi. CrowdStrike, dahili test süreçlerinin amaçlandığı gibi çalışmadığını söyledi. Uzmanlar, Windows ana bilgisayarlarının hatalı güncellemeden otomatik olarak kurtarılamamasının nedenini sordu ve çok sayıda BT ekibinin çöken makineleri manuel olarak geri yüklemek için gece gündüz çalışmasını gerektirdi.
Siber güvenlik uzmanı ve profesör Alan Woodward BBC’ye “Microsoft’un çevrimiçi hizmetlerinde başka bir ciddi kesinti yaşamamız biraz gerçek dışı görünüyor,” dedi. “Microsoft’un ağ altyapısının bomba geçirmez olmasını beklersiniz.”
Bloomberg’in bildirdiğine göre etkilenen Azure müşterileri arasında mobil sipariş uygulaması saatlerce çevrimdışı kalan Amerikan kahve devi Starbucks da vardı. Uygulama Starbucks için o kadar merkezi hale geldi ki bazı havaalanı lokasyonları yalnızca mobil siparişleri kabul ediyor. Yaklaşık 1.450 sinirli kahve içicisi Downdetector’a uygulama kesintilerini bildirdi. Starbucks uygulaması da CrowdStrike kaynaklı kesintiden ciddi şekilde etkilendi.
Microsoft, Salı günkü kesintinin çözülmesinden itibaren yaklaşık 72 saat içinde ön bir olay raporu yayınlamayı ve yaklaşık 14 gün içinde de daha kapsamlı bir nihai olay incelemesi yapmayı taahhüt etti.
Bu, DDoS saldırılarının Azure hizmetlerini baltaladığı ilk sefer değil. Haziran 2023’te Microsoft, Azure ve Microsoft 365’i etkileyen haftalarca süren kesintilerin sorumlusunun Rus yanlısı bir hacktivist grup tarafından gerçekleştirilen DDoS saldırıları olduğunu söyledi.
Ardışık kesintiler, ağ etkilerinin ve piyasa konsolidasyonunun dijital aksaklıkların etkilerini nasıl artırdığını vurguluyor. “Aşırı bağlantılı sistemlerde hiçbir gevşeklik olmadan, sınıra kadar optimize ettiğimiz için felaket riskine son derece yatkın sosyal sistemler tasarladık. Küçük bir arıza artık çok büyük bir arıza,” dedi University College London akademisyeni Brian Klaas CrowdStrike kesintisinden sonra.
Siber güvenlik araştırmacısı Costin Raiu, CNN’e verdiği demeçte, dünyanın sonunun “Yapay Zeka’nın bir tür nükleer santrali ele geçirip elektriği kesmesi” olmayacağını söyledi. Bunun yerine, “Daha çok, birbirine bağımlı bulut sistemlerinde kademeli bir tepkimeye neden olan, beceriksiz bir güncellemedeki küçük bir kod parçası olması muhtemel.” dedi.