Bad Tenable plugin updates take down Nessus agents worldwide
2025/01/03 BleepingComputer — Tenable が公表したのは、12月31日に更新された、バグを取り込んだ差分プラグインが原因となり、オフラインになってしまたった Nessus 脆弱性スキャナー・エージェントの復活方法である。それによると、ユーザーによるソフトウェアの手動アップグレードが必要になるとのことだ。Tenable がインシデント・レポートで認めているのは、この問題の拡大を防ぐために、プラグイン更新を一時停止したという状況である。なお、このエージェントは、すべてのサイトの特定のユーザーに対してオフラインになっている。
この進行中のインシデントは、Nessus Agent バージョン 10.8.0/10.8.1 へと更新されたシステムに影響を及ぼし、地域的には、南北アメリカ/ヨーロッパ/アジアが対象になっている。
このインシデントの直後に Tenable は、問題のあるバージョンを削除している。さらに、このエージェント・シャットダウンの問題を修正するために、Nessus Agent バージョン 10.8.2 をリリースしている。
Tenable の最新のステータス・ページには、その日のうちにプラグイン・フィードを再開し、プラグイン・ダウンロードも再開する予定だと記されている。
Tenable は Nessus Agent 10.8.2 リリースノートにおいて、「問題の差分プラグイン更新がトリガーされると、Tenable Nessus Agent 10.8.0/10.8.1 がオフラインになってしまう可能性がある。この問題を防ぐために、上記のエージェント・バージョンのプラグイン・フィード更新を無効化した。さらに、この問題を防ぐために、バージョン 10.8.0/10.8.1 を無効化した」と述べている。
エージェントをオンラインに戻すには手動アップグレードが必要
Tenable のアドバイザリには、「Tenable Nessus Agent のバージョン 10.8.0/10.8.1 を実行している、Tenable Vulnerability Management/Security Center のユーザーは、エージェント・バージョンを 10.8.2 にアップグレードするか、10.7.3 にダウングレードして、この問題を修正する必要がある。ただし、エージェント・プロファイルがアップグレード/ダウングレードに使用されている場合には、このプラグインをリセットして、オフラインから回復することが必要になる」と記されている。
さらに同社は、「この問題を修正するには、Tenable Nessus Agent 10.8.2 インストール・パッケージを使用して、エージェントを手動でアップグレードする必要がある。さらに、必要に応じて、リリース・ノートで共有されるスクリプト、または、nessuscli reset コマンドを使用して、エージェント・プラグインをリセットする必要がある」と付け加えている。
2024年7月には、CrowdStrike Falcon の不具合のあるアップデートにより、はるかに深刻な影響が生じる、同様のインシデントが引き起こされている。この件では、銀行/航空/空港/テレビ局/病院などの、世界中の多くの組織やサービスに影響が生じ、広範囲におよぶサービス停止が発生した。
具体的に言うと、CrowdStrike の不具合のあるアップデートにより、世界中の Windows システムが BSOD (blue screen of death) エラーでクラッシュし、さまざまな組織における数十万台のデバイスがダウンした。
文中でも指摘されるように、CrowdStrike のアップデート・インシデントを思い出す人も多いのではないかと思ってしまいます。いろんな条件や状況があるので一概に言えませんが、やはり、リリース前のチェックは重要ですね。手動でのアップデートに加えて、プラグインのリセットまで要求されるのは、あまりにも酷なことです。
IoT OT Security News 
You must be logged in to post a comment.