Falcon Sensor de CrowdStrike a également causé des problèmes sur les machines Linux récemment

Les professionnels estiment que la situation n'est pas comparable aux BSoD provoqués sur Windows

Le désormais célèbre logiciel Falcon Sensor de CrowdStrike, qui a provoqué la semaine dernière des pannes généralisées d'ordinateurs fonctionnant sous Windows, a également provoqué des pannes sur des machines Linux.

C'est en tout cas ce que ce sont empressés de rapportés les médias.

L'un d'eux note par exemple :

« En juin, Red Hat a averti ses clients d'un problème décrit comme "Kernel panic observed after booting 5.14.0-427.13.1.el9_4.x86_64 by falcon-sensor process" (panique du noyau observée après le démarrage de 5.14.0-427.13.1.el9_4.x86_64 par le processus falcon-sensor) qui a affecté certains utilisateurs de Red Hat Enterprise Linux 9.4 après (comme le suggère l'avertissement) avoir démarré sur la version 5.14.0-427.13.1.el9_4.x86_64 du noyau.

« Un second problème intitulé "System crashed at cshook_network_ops_inet6_sockraw_release+0x171a9" conseille aux utilisateurs "d'obtenir de l'aide pour résoudre les problèmes potentiels liés au module noyau falcon_lsm_serviceable fourni par la suite logicielle de sécurité CrowdStrike Falcon Sensor/Agent". Red Hat a également indiqué que "la désactivation de la suite logicielle CrowdStrike Falcon Sensor/Agent ... atténuera les pannes et apportera une stabilité temporaire au système en question pendant que le problème est étudié". Le problème a été "observé mais n'est pas limité aux versions 6 et 7".

« Nous avons également repéré des rapports selon lesquels CrowdStrike est soupçonné de causer des problèmes sous Debian et Rocky Linux ».


Toutefois, des professionnels ce sont empressés de noter que les problèmes liés à Linux sont très différents des problèmes de BSOD de Windows :

« Les paniques du noyau redhat ont été causées par un bug dans l'implémentation ebpf du noyau, probablement une régression introduite par un patch spécifique à rhel. Blâmer crowdstrike pour cela est stupide (tout comme blâmer Microsoft pour le BSOD de Crowdstrike est stupide).

« Pour la petite histoire, je travaille également sur un produit utilisant des eBPF, et j'ai eu des mises à jour du noyau qui ont causé des paniques dans mes sondes eBPF.

« Dans mon cas, la panique s'est produite parce que le noyau a décidé de modifier une interface de hook LSM, en ajoutant un nouvel argument devant les autres. Lorsque la sonde est chargée, le noyau ne vérifie pas le type des arguments, et ne réalise donc pas que la sonde n'est pas compatible avec le nouveau noyau. Lorsque la sonde s'exécute, il se passe des choses bizarres et vous vous retrouvez avec une panique du noyau.

« Les sondes eBPF qui provoquent des paniques du noyau indiquent presque toujours un bogue du noyau, et non un bogue du fournisseur ebpf. Il y a bien sûr des exceptions (comme un ebpf qui refuse l'accès à une ressource et fait planter pid1). Mais elles sont très rares ».

Pour mémoire, eBPF est une technologie issue du noyau Linux qui peut exécuter des programmes dans un environnement confiné, mais avec les privilèges du noyau du système d'exploitation. eBPF est utilisé pour étendre de façon sûre et efficace les capacités du noyau, sans qu'il soit nécessaire de modifier le code source du noyau ou de charger des modules.


Mais ce genre d'avis ne fait pas l'unanimité. Un professionnel de l'informatique rétorque :

« Il n'est pas évident pour moi qu'ils soient si différents, mais peut-être ne suis-je pas "suffisamment intelligent".

« Pour moi, il s'agit d'une question compliquée - les organisations Linux et Windows sont toutes deux très performantes en matière d'ingénierie de la fiabilité du noyau, même si les structures organisationnelles et les approches d'ingénierie sont très différentes.

« Oui, "on a fait confiance aux mauvaises personnes", mais je ne vois pas comment l'ingénierie peut résoudre complètement ce problème ».


Un internaute a partagé son expérience :

« Crowdstrike a fait cela à notre flotte Linux de production le 19 avril dernier, et je meurs d'envie d'en parler.

« La version courte est la suivante : nous sommes un laboratoire de technologie civique, nous avons donc un tas de sites web de production différents créés à des moments différents sur des infrastructures différentes. Nous utilisons Crowdstrike, fourni par notre entreprise. Crowdstrike a publié une mise à jour un vendredi soir qui était incompatible avec la version stable de Debian. Nous avons donc patché Debian comme d'habitude, tout s'est bien passé pendant une semaine, puis tous nos serveurs à travers de multiples sites web et hôtes sur le cloud ont subi simultanément un crash dur et ont refusé de démarrer.

« Lorsque nous avons connecté l'un des disques à une nouvelle machine et vérifié les journaux, Crowdstrike semblait être le coupable, nous l'avons donc supprimé manuellement, la machine a démarré, nous avons essayé de le réinstaller et la machine s'est immédiatement effondrée à nouveau. OK, déposons un ticket d'assistance et cherchons à entrer en contact avec un ingénieur en ligne.

« Crowdstrike a pris un jour pour répondre, et a ensuite demandé un tas de preuves supplémentaires (en plus de ce qui précède) qui indiqueraient que c'était leur faute. Ils ont reconnu le bogue un jour plus tard, et quelques semaines plus tard, ils ont effectué une analyse des causes profondes pour expliquer qu'ils n'avaient pas pris en compte notre scénario (Debian stable fonctionnant avec la version n-1, je crois, qui est une configuration prise en charge) dans leur matrice de test. Dans notre propre post mortem, il n'y avait pas de réelle capacité à empêcher la même chose de se reproduire - "nous poussons un logiciel sur vos machines quand nous le voulons, que ce soit urgent ou non, sans le tester" semble être au cœur du modèle, en particulier si vous êtes un petit service informatique d'une grande entreprise ».

En attendant le consensus, les utilisateurs sur Linux jubilent...

Si Falcon Sensor de CrowdStrike est également disponible sur Linux, les utilisateurs n'ont pas été impactés. Aussi, ils en ont profité pour prendre leur revanche sur les réseaux sociaux et se moquer, à leur tour, des utilisateurs sur Windows.

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Waking up as a Linux user today <a href="https://twitter.com/hashtag/Crowdstrike?src=hash&ref_src=twsrc%5Etfw">#Crowdstrike</a> <a href="https://t.co/rkC4hGQhLY">pic.twitter.com/rkC4hGQhLY</a></p>— It's FOSS (@itsfoss2) <a href="https://twitter.com/itsfoss2/status/1814226663858749942?ref_src=twsrc%5Etfw">July 19, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Linux users 😎💪💪<a href="https://twitter.com/hashtag/Microsoft?src=hash&ref_src=twsrc%5Etfw">#Microsoft</a> <a href="https://twitter.com/hashtag/Windows?src=hash&ref_src=twsrc%5Etfw">#Windows</a> <a href="https://twitter.com/hashtag/crowdstrike?src=hash&ref_src=twsrc%5Etfw">#crowdstrike</a> <a href="https://twitter.com/hashtag/Infosys?src=hash&ref_src=twsrc%5Etfw">#Infosys</a> <a href="https://t.co/l1Elt8DO1z">pic.twitter.com/l1Elt8DO1z</a></p>— Secular Chad (@SachabhartiyaRW) <a href="https://twitter.com/SachabhartiyaRW/status/1814207876195364911?ref_src=twsrc%5Etfw">July 19, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

Elon Musk n’a pas manqué de réagir à la panne. Il a ainsi partagé un montage photo d’une foule hagarde avec des visages remplacés par des écrans bleus Windows. Un peu plus tard dans la soirée, il a également assuré avoir supprimé CrowdStrike de ses systèmes. « Nous venons de supprimer CrowdStrike de tous nos systèmes », a-t-il indiqué. Et de poursuivre : « Malheureusement, beaucoup de nos fournisseurs et de nos sociétés de logistique l’utilisent », en réponse à des utilisateurs qui l’interpellaient sur le sujet.

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">We just deleted Crowdstrike from all our systems, so no rollouts at all</p>— Elon Musk (@elonmusk) <a href="https://twitter.com/elonmusk/status/1814336158505050523?ref_src=twsrc%5Etfw">July 19, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]

Les utilisateurs sur mac ont fait pareil...