Выпуск macOS 15 Sequoia, состоявшийся 16 сентября 2024 года, вызвал серьезные опасения в сообществе кибербезопасности. Многочисленные пользователи и эксперты сообщили о нарушениях в работе ключевых инструментов безопасности, включая EDR-решения, VPN-клиенты и браузеры. Проблема связана с изменениями в архитектуре брандмауэра macOS и отражена в официальных release notes Apple.
Основные проблемы безопасности в macOS 15 Sequoia
Согласно отчётам пользователей и официальным заявлениям производителей ПО, основные проблемы включают:
- нарушения в работе EDR-решений (CrowdStrike Falcon, ESET Endpoint Security);
- сбои в функционировании брандмауэров, приводящие к повреждению сетевых пакетов;
- ошибки SSL в браузерах, включая Safari и сторонние браузеры на WebKit;
- невозможность использования системных утилит wget и curl;
- проблемы с подключением к VPN-сервисам (Mullvad VPN и корпоративные решения).
Эти нарушения подвергают риску конфиденциальность данных пользователей и целостность корпоративных сетей, использующих затронутые продукты на платформе macOS.
Кто затронут проблемой
Проблема наиболее остро проявляется в следующих группах пользователей:
- корпоративные пользователи Mac с установленными решениями CrowdStrike Falcon или ESET Endpoint Security — EDR-агенты теряли функциональность после обновления до Sequoia;
- пользователи корпоративных VPN-клиентов, построенных на старом API Application Firewall, которые не успели выпустить обновлённые версии до релиза Sequoia;
- разработчики и системные администраторы, использующие wget, curl и другие сетевые инструменты командной строки для автоматизации;
- организации с политикой немедленного обновления macOS без предварительного тестирования совместимости с корпоративным ПО безопасности.
Реакция производителей ПО и рекомендации экспертов
Ведущие компании в сфере кибербезопасности отреагировали на возникшую ситуацию:
CrowdStrike
В бюллетене CrowdStrike рекомендовал клиентам воздержаться от обновления до macOS 15 Sequoia до выпуска полностью совместимой версии Mac sensor.
ESET
Компания ESET опубликовала инструкцию по временному решению проблемы для пользователей Endpoint Security версии 8.1.6.0 и выше, а также ESET Cyber Security версии 7.5.74.0 и выше. Рекомендуется удалить ESET Network из списка фильтров в настройках системы с последующей перезагрузкой.
Microsoft
Microsoft выявила связь проблемы с режимом Stealth Mode в macOS. Для устранения неполадок рекомендуется отключить данный режим в настройках брандмауэра.
Анализ ситуации и потенциальные риски
Патрик Уордл, известный эксперт по безопасности macOS, подтвердил наличие предупреждений от крупных компаний и выразил обеспокоенность тем, что Apple выпустила ОС, зная о существующих проблемах. Основной причиной считается изменение в работе брандмауэра macOS: устаревание функции Application Firewall и переход на инструмент командной строки socketfilterfw потребовали значительных изменений в сторонних приложениях безопасности.
Что делать пользователям и администраторам
Конкретные шаги для снижения рисков:
- перед обновлением любого Mac до новой версии macOS проверьте таблицу совместимости для используемых EDR, VPN и брандмауэрных решений на сайтах соответствующих вендоров;
- для пользователей CrowdStrike: обновите Falcon sensor до версии с подтверждённой поддержкой Sequoia перед обновлением ОС;
- для пользователей ESET: следуйте официальной инструкции — удалите ESET Network Filter из системных настроек, перезагрузите Mac и дождитесь обновлённой версии Endpoint Security;
- если Stealth Mode включён в настройках брандмауэра macOS и VPN-клиент перестал работать — отключите Stealth Mode через Системные настройки → Брандмауэр → Параметры;
- следите за выходом обновлений безопасности macOS через страницу обновлений безопасности Apple и обновляйте ОС только после выхода совместимых версий корпоративных инструментов.
Технические детали изменений в архитектуре брандмауэра macOS 15 задокументированы в документации Apple Developer для разработчиков сторонних приложений безопасности.
