Vulnerabilità di "perdita di memoria del kernel" del firmware e del processore Intel

PUBBLICATO DA Zevenet 4 gennaio, 2018

Descrizione

Intel ha recentemente pubblicato una serie di vulnerabilità che riguardano l'implementazione e la progettazione di alcuni dei loro processori e firmware, che la minaccia influisce dai dispositivi alle piattaforme server.

Nelle sezioni seguenti viene descritto come queste vulnerabilità influiscono sui dispositivi di rete e sull'infrastruttura basata su server in un data center.

Vulnerabilità del firmware Intel

Al fine di affrontare i rischi di queste vulnerabilità, Intel ha pubblicato raccomandazioni per aiutare gli amministratori di sistemi e sicurezza ad affrontare queste minacce fornendo alcune risorse:

Revisione della sicurezza Intel-SA-00086
Articolo di supporto Intel-SA-00086
Strumento di rilevamento Intel-SA-00086

È raccomandabile a leggi le osservazioni sopra e applica gli aggiornamenti del firmware che i diversi fornitori hanno fornito al fine di mantenere un'infrastruttura sicura in caso di futuri attacchi che potrebbero sfruttare queste debolezze.

Per quanto riguarda il modo in cui queste vulnerabilità influiscono sull'infrastruttura di rete in un data center, possiamo riassumere le seguenti premesse:

1. Queste vulnerabilità interessano la stragrande maggioranza dei processori Intel ed è probabile che ne siano influenzate.
2. Queste vulnerabilità sono basate su una minaccia di escalation dei privilegi e, pertanto, richiedono l'accesso locale al sistema operativo per poter eseguire codice arbitrario. O almeno, l'accesso remoto come amministratore è necessario per sfruttare queste vulnerabilità.
3. Sarà necessario applicare gli aggiornamenti del firmware forniti dai fornitori e disabilitare se è possibile i servizi: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) e Intel ATM.
4. Proteggere l'accesso locale e remoto al sistema operativo isolando la rete di gestione ed evitando all'utente o processi i privilegi di accesso al sistema operativo.
5. È interessato da piattaforme virtuali o hardware, ambienti locali o cloud o persino micro-servizi. Ogni livello dovrebbe prendersi cura della protezione da questa minaccia.

Memoria del kernel Perdita della vulnerabilità o bug della CPU Intel

Le CPU Intel sono state influenzate da un bug di sicurezza a livello di chip critico che non può essere risolto da un aggiornamento del microcodice, ma a livello di sistema operativo e interessa tutti (Windows, Linux e macOS).

I Memoria kernel Perdita vulnerabilità affrontare il problema in cui ogni programma spaziale dell'utente (database, javascript, browser Web, ecc.) poteva accedere illegalmente a determinati contenuti nella memoria del kernel protetta, superando i limiti di memoria virtuale specificati nel sistema operativo. La correzione a livello di sistema operativo viene fornita con l'implementazione di Isolamento della tabella pagine del kernel (KPTI) per garantire che la memoria del kernel sia invisibile ai processi dell'utente.

Ma, poiché questo non è un mondo perfetto, la maggiore sicurezza applicata da questa patch introduce una grossa penalizzazione delle prestazioni per i programmi utente di circa il 30%. Inoltre, il rallentamento dipenderà in maniera massiccia dal carico di lavoro e dall'utilizzo intensivo di I / O tra il kernel e i programmi nello spazio utente. Per i casi specifici di funzioni di rete all'interno di un data center, non è così critico in quanto le loro attività sono chiare e non vengono trattate con un'elaborazione eccessiva dei dati sebbene funzioni di livello 7 intensive come l'offload SSL, il cambio di contenuto, ecc.

Questa vulnerabilità può essere sfruttata principalmente dai programmi o dagli utenti registrati per leggere il contenuto dei dati della memoria del kernel. Per questo motivo, gli ambienti condivisi di risorse come la virtualizzazione, i micro-servizi oi sistemi cloud hanno maggiori probabilità di essere colpiti e abusati.

Fino a quando non verrà fornita una patch definitiva a livello di sistema operativo, i punti di prevenzione che abbiamo impostato nella sezione precedente, saranno sufficienti per ora.

AMD ha confermato che i suoi processori non sono influenzati dalla vulnerabilità e quindi dalla performance della penalità.

Attacchi di Meltdown e Spectre

Gli attacchi Meltdown e Spectre sono riferiti a vulnerabilità del canale laterale che si trovano in diverse implementazioni hardware della CPU, che sfruttano la capacità di estrarre informazioni dalle istruzioni della CPU eseguite utilizzando la cache della CPU come canale laterale. Attualmente, ci sono alcune varianti di questi attacchi:

Variante 1 (CVE-2017-5753, Spettro): Controlla il bypass
Variante 2 (CVE-2017-5715, anche Spettro): Iniezione target del ramo
Variante 3 (CVE-2017-5754, Meltdown): Caricamento della cache di dati non autorizzati, controllo del permesso di accesso alla memoria eseguito dopo la lettura della memoria del kernel

Ulteriori spiegazioni tecniche di questi attacchi in http://www.kb.cert.org/vuls/id/584653.

Impatto di Meltdown e Spectre in Zevenet Load Balancers

Il rischio di queste vulnerabilità in Zevenet Load Balancer è basso in qualità di aggressore, dovrebbe avere accesso locale al sistema operativo e dovrebbe essere in grado di eseguire codice dannoso con privilegi utente per trarne vantaggio. Zevenet Enteprise Edition è un'appliance specifica di rete che non consente a un utente locale non amministrativo di eseguire codice di terze parti, quindi è improbabile che ciò accada e potrebbe essere evitato con buone pratiche di amministrazione.

Inoltre, la rete di gestione di Load Balancer di solito è privata e non esiste alcun utente aggiuntivo predefinito rispetto a un utente amministrativo, quindi il rischio è basso. D'altro canto, i sistemi multi-tenant come gli ambienti pubblici virtuali, le piattaforme container e gli ambienti cloud possono essere esposti al rischio maggiore.

Al fine di prevenire l'attacco, si prega di seguire i consigli di sicurezza che abbiamo elencato sopra.

Attualmente, ci sono alcune patch a livello di sistema operativo per mitigare completamente queste vulnerabilità ma producono alcuni effetti collaterali di prestazioni. Il nostro team di sicurezza sta lavorando per fornire una patch definitiva per mitigare al più presto questa minaccia alla sicurezza con il minimo impatto sui servizi di consegna delle applicazioni.

Ulteriori comunicazioni saranno fornite dal Canali di supporto ufficiali.

Condividere su:

Documentazione sotto i termini della GNU Free Documentation License.

questo articolo è stato utile?

Articoli Correlati