日期 | 2024年7月19日 |
地点 | 全球 |
类型 | 网络瘫痪 |
起因 | CrowdStrike配置文件更新异常导致的电脑崩溃 |
动机 | 错误的网络安全软件更新,而非网络攻击 |
结果 | 全球约850万台Microsoft Windows操作系统设备意外崩溃 多国关键服务和其他服务中断,被称为信息技术史上最大的中断事件 |
CrowdStrike提供一系列安全软件保护计算机免于网络攻击。旗下漏洞扫描器“猎鹰传感器”(Falcon Sensor)产品在个人电脑操作系统的内核层面安装端点侦测与回应传感器,以检测和预防威胁。CrowdStrike会定期向客户分发补丁,使他们的计算机能够应对新的威胁[11]。
2024年7月18日,即在此次问题更新前,Microsoft Azure云服务发生异常,导致美国中部部分Azure用户无法访问其云存储及Microsoft 365服务[13]。微软表示,两起事件并无关系,但对这些受影响公司的客户来说,问题却更加复杂[14]。
协调世界时(UTC)2024年7月19日04时09分,CrowdStrike为其Windows版本Falcon软件产品发布一项更新。当中用于筛检命名管道的配置文件(291号通道文件,Channel File 291)的更新导致了端点侦测与回应(EDR)客户端的逻辑错误。这触发了设备蓝屏死机,并显示由页缺失引起的终止代码PAGE_FAULT_IN_NONPAGED_AREA
[17][18][19],以及“失败的操作:csagent.sys”。这造成设备陷入启动循环或恢复模式[20][21]。该故障主要发生于运行Windows 10及Windows 11的设备[20],而运行Windows 7或Windows Server 2008 R2的设备未受影响[19]。该故障仅存在于安装CrowdStrike Falcon的Windows设备,绝大多数个人电脑免于故障[22]。
CrowdStrike于UTC 05时27分发放内容更新[19],已下载更新的设备重启后将不受影响[17]。UTC 09时45分,首席执行官乔治·库尔茨证实修复程序已被部署[28][29]。
由于时区关系,全球受到的显著民生影响几乎是由东至西,先影响大洋洲和亚洲(UTC 04时即当地时间正午前后),再到欧洲(清晨6时左右),最后到美洲(刚踏入19日半夜)。其中部分国家和地区影响轻微。例如中国大陆因其不断推进科技自立,航空公司及银行等重要行业幸免于难,但个别外企及奢华酒店仍受冲击[39]。而俄罗斯和伊朗因国际制裁导致使用美国高科技公司产品受限,故并无相关故障报告[40][41]。
Cloud Zero的分析师预测(利用以前对假设的全球互联网中断所做的工作),事发当天上午已造成损失240亿美元[5];一名英国教授预测,此次事故损失“极其巨大,可能达数十亿(英镑)”[6]。
在印度,印度航空、靛蓝航空、阿卡萨航空、香料航空和塔新航空受事件影响,期间更一度签发手写登机牌。印度民用航空部要求并命令航空公司和机场在必要时提供食物和座位,同时要有同情心[73][74][75][76]。印度标准时间18时14分(UTC 12时44分),全印共有超200班航班取消,其中靛蓝航空192班[77]。不过,只有那些严重依赖Microsoft Azure提供从网站托管、预订系统到收益管理系统和离港控制系统等各种服务的航空公司才会受到影响。印度航空表示,此次事件中没有航班延误或被取消[78]。
[编辑]在欧洲,捷克的布拉格瓦茨拉夫·哈维尔机场[51][81]、匈牙利的布达佩斯李斯特·费伦茨国际机场[82]、斯洛文尼亚的布拉迪斯拉发机场[83]和荷兰的阿姆斯特丹史基浦机场[84]受此事影响。苏黎世机场一度暂停航班降落[85]。比利时临近布鲁塞尔首都大区的沙勒罗瓦机场的工作人员手动为乘客办理登机手续,但其他软件在10:00(UTC 08:00)之前缓解了问题,未发生严重延误[86]。西班牙ENAIRE下辖“西班牙机场管理局”在其社交媒体及官网提及此事[87]。所有西班牙机场都报告了险情[88]。法国航空在周五宣布,他们的多项服务受到了技术问题的影响,尽管公司的网站和应用程序运作正常,但客户服务电话可能会中断。法国航空的技术团队正在全力解决这些问题[89]。法国首都巴黎的巴黎夏尔·戴高乐机场和巴黎-奥利机场的值机服务均受此事影响,更一度暂停航班起降[90]。波兰波兹南-拉威卡机场和华沙肖邦机场的登机报道受影响,二者建议旅客在网上查询航班状态。虽然启动了应急系统,但办理登机手续的速度仍然较慢[91]。德国首都的柏林勃兰登堡机场约于当地时间上午7时(UTC 05时)宣布,因机场运营受“外部供应商IT问题”影响,暂停服务至上午10时(UTC 08时)[76][92]。虽然旅客吞吐量在一定程度上受到限制,但航班延误仍在继续,一些航班不得不被航空公司取消[93]。在德国第二大城市的汉堡机场,多家航空公司(欧洲之翼航空、瑞安航空、伏林航空和土耳其航空)被迫人工填写登机牌[94]。克罗地亚和瑞典的空管系统因此事瘫痪[95][96]。
同日,达美航空首席执行官艾德·巴斯蒂安在声明中向受影响旅客致歉,并透露此次故障影响了达美航空的一个机组人员跟踪软件程序[124]。据巴斯蒂安称:软件“无法有效处理系统关闭引发的数量空前的变更”[129]。据达美首席信息官拉胡尔·萨曼特(Rahul Samant)称,软件已于7月19日上午约11时恢复并重新联网,但由于等待处理的更新积压过多,该程序已不堪重负,此后一直在努力赶进度[125]。由于一些机组人员和飞机在第二天的航班中被错误分配,部分航班在配齐人员时不断因人员超过其法定飞行时间限制而未能成行[129]。这造成了达美航空难以调用足够人手运营定期航班,导致航班一再延误和取消,令危机像滚雪球一样越滚越大[129]。2022年西南航空排班危机也被归咎于类似问题[124]。同日,美国运输部长彼得·布蒂吉格在美国运输部社交媒体上发文表示,其已收到数以百计的关于达美航空的投诉,并提醒该航空公司对受影响乘客负有法律义务[124]。
[编辑]新西兰奥克兰的交通卡“AT HOP卡”也被影响[46]。澳大利亚的加油站受到影响,由于支付系统瘫痪,人们滞留在加油泵,无法支付油费[49]。澳大利亚货运铁路运营商Aurizon受到影响[51]。在新南威尔士州猎人铁路和南高地铁路上开行的区域列车延误或被取消,同时维多利亚州在V/线运营的区域公交铁路网全线停运[51][130]。
伦敦证券交易所开市如常,但无法更新网站新闻[85]。英国博彩公司立博和连锁超市Morrisons受事件冲击[85]。Visa受到影响[32]。波兰的波兰桑坦德银行、西里西亚ING银行、mBank等银行遇到了与中断有关的问题。波兰桑坦德银行的热线、视频、聊天服务受到影响。波兰储蓄银行澄清说,其iPKO和IKO服务稳定,但其他银行面临困难[155]。芬兰的OP金融集团报告称,投资伙伴和股票储蓄账户受到轻微干扰[156]。乌克兰Sense Bank因此次更新遭到冲击[157]。
在美洲,受影响的银行包括美国的大通银行、美国银行、富国银行、美国合众银行、第一资本、嘉信理财[160],加拿大的加拿大皇家银行、多伦多道明银行[161][143]。巴西的布拉德斯科银行证实受到影响。上午客户可以登录,但在UTC时间12:00,银行禁用了登录按钮。[162]巴拉圭银行Ueno和Banco Continental受到影响,其客户无法登录。[163]
英国国民医疗服务体系(NHS)表示此问题“对大多数[英国]全科医生诊所造成干扰”[82],其部分服务(如全科医生诊室,其运行依赖“EMIS Web”软件)无法调取或管理医疗记录、开具和管理处方或预约[85]。马恩岛电台报道称马恩岛的全科医生诊所受到影响[196]。受事件影响,伦敦救护服务收到的999和111紧急电话数量空前激增[43],截至英国夏令时17时(UTC 18时),中心共接听4,500通急救电话[197]。爱尔兰三分之二的全科医生受到影响。医院的放射治疗、手术室预约和员工名册也受到影响[136]。
亚马逊云计算服务、eBay、Google云端、Instagram和PlentyOfFish受到冲击[207][204]。在美洲,赛车游戏《iRacing》受事件影响[208]。多部韩国网络游戏,如《黑色沙漠》《仙境传说》和《RO 仙境传说》,一度停服[209]。
纽约时报广场上的多块显示屏被关闭[222]。美国多家电视台受事件影响无法正常播出,例如KSHB-TV被迫紧急借用斯克里普斯新闻台播出全国新闻[61]。ESPN早间版《体育中心》受事件影响无法播出,改为与ESPN2并机播出ESPN广播节目《Unsportsmanlike》[223]。ESPN和ESPN2稍后联播《起床!》《第一炮》填补节目空缺,期间无任何信息栏或辅助镜头[224][225]。派拉蒙全球旗下多套电视频道受到冲击,例如尼克卡通(西岸转播转为旧式紧急转播)、尼克青年频道、BET Her,及冥王星电视台旗下多套电视频道。MeTV Toons一度停播五个半小时。加拿大广播公司也未能幸免[116]。
[编辑]![Vanden Borre Outage due to July 2024 global cyber outages](http://upload.wikimedia.org/wikipedia/commons/thumb/b/b3/Vanden_Borre_Website_Offline.webp/200px-Vanden_Borre_Website_Offline.webp.png)
消费者在新西兰的Foodstuffs和Woolworths超市付款时遭遇问题[46]。澳大利亚零售商和连锁快餐店受事件冲击,造成自助结账和在线下单服务瘫痪;顾客无法使用信用卡付款,甚至无法使用销售时点情报系统(POS)结账[226]。Woolworths和客澳市等超市被波及,大量商店当日被迫终止经营[51]。同时,由于POS系统无法工作,DFO South Wharf的店铺受到严重干扰。
在美国,系统延迟迫使体育用品零售商迪克体育用品关闭部分门店,其网站也一度瘫痪[233][234]。国际连锁品牌星巴克的移动应用只能查看更新前的基本账目,订餐只能到店下单,收银机软件崩溃[235]。连锁便利商店品牌7-Eleven在美国旗下的Speedway部分分店出现异常,起因是店仍在使用Speedway的遗留软件BlueCube和Radiant Site Manager,这些软件是Speedway为马拉松石油公司所有之时安装,门店轻则无法使用信用卡或借记卡交易,重则暂停营业[236]。7-Eleven正在将Speedway的分店转换为其适当的RIS软件[237],已换型RIS的Speedway分店没有遇到问题,普通7-Eleven或Stripes便利店分店亦幸免于难。
亚马逊公司的仓库运营和内部软件受到干扰。亚马逊仓库用于管理日程安排和请假申请的应用程序“A to Z”因事故瘫痪,员工也无法使用内部服务“Anytime Pay”。亚马逊的卡车运输业务也受到干扰,司机们抱怨,他们使用的“Relay”平台出现了问题,这意味着他们暂时无法到仓库取货[238]。
[编辑]网络安全顾问Troy Hunt称该事件为“历史上最大的IT中断”,并补充道:“这基本上就是我们对千年虫问题所担心的,只不过这次确实发生了”。[257][258]新闻记者使用“数字流行病”一词来描述这次中断。[259][260][261][262]
[编辑]7月19日猎鹰传感器(Falcon Sensor)的软件更新包含了两个新增的模板实例(template instance),该模板已于3月时通过内部测试并于软件更新中推送至客户。由于CrowdStrike内容验证软件中的一个错误,其中一个包含问题内容,名为“291号通道文件”的新实例通过了验证[269][270]。
自2019年推出MacOS Catalina以来,这类软件可以使用“端点安全框架”,而不是内核扩展,而且这种方法已被逐步强制执行[282]。
- 2000年问题
- 2017年WannaCry勒索软件攻击
- 2021年Facebook死机事件
- 2038年问题
