検証機能にバグ、ファイルの問題を検知できず展開 - CrowdStrike

「チャネルファイル」の作成にあたっては、事前にテンプレート型を定義。テンプレート型を踏まえてフィールドや数値を指定する「テンプレートインスタンス」を作成している。

同社は2月末に「Named Pipes」を利用した攻撃を検知できるよう、センサーを更新し、あらたなテンプレート型に対応。

「IPC（InterProcess Communication）」に関するテンプレート型で、テストを経て問題なく使用できると判断し、その後複数の「テンプレートインスタンス」を作成、展開しており、動作の不備なども発生していなかった。

同社は、テンプレート型など、センサー部分に関しては、自動テスト、手動テスト、検証および展開手順を含む広範な品質保証プロセスを実施してきたことを強調する一方、今回の問題はセンサーそのものの更新ではなく、7月19日にリリースしたあたらしい「テンプレートインスタンス」によって生じた。

「テンプレートインスタンス」に対する「コンテンツ検証処理」にバグが存在。問題があるふたつのテンプレートのうち、ひとつが検証を通過し、問題ある状態で稼働環境へ展開され、障害へとつながった。

（Security NEXT - 2024/07/24 ）ツイート