Intel Firmware en Processor 'Kernel-geheugen lekt' kwetsbaarheden

GEPOST DOOR Zevenet | 4 januari 2018

Overzicht

Intel heeft onlangs een reeks kwetsbaarheden gepubliceerd die van invloed zijn op de implementatie en het ontwerp van sommige van hun processors en firmwares, die van platform tot server van invloed zijn.

In de volgende secties wordt beschreven hoe deze kwetsbaarheden van invloed zijn op netwerkapparatuur en servergebaseerde infrastructuur in een datacenter.

Intel Firmware Vulnerability

Om de risico's van deze kwetsbaarheden te verhelpen, heeft Intel aanbevelingen gepubliceerd om systeem- en beveiligingsbeheerders te helpen deze bedreigingen aan te pakken door enkele bronnen aan te bieden:

Intel-SA-00086 Beveiligingsoverzicht
Intel-SA-00086 ondersteuningsartikel
Intel-SA-00086 detectieapparaat

Het is aan te bevelen om lees de opmerkingen hierboven en pas de firmware-updates toe die de verschillende verkopers hebben verstrekt om een ​​veilige infrastructuur te behouden in het geval van toekomstige aanvallen die van deze zwakke punten zouden kunnen profiteren.

Met betrekking tot hoe deze kwetsbaarheden van invloed zijn op de netwerkinfrastructuur in een datacenter, kunnen we de volgende premissen samenvatten:

1. Deze kwetsbaarheden zijn van invloed op de overgrote meerderheid van Intel-processors en zullen waarschijnlijk door een van deze worden beïnvloed.
2. Deze kwetsbaarheden zijn gebaseerd op een escalatie-bedreiging met bevoegdheden en daarom is lokale toegang tot het besturingssysteem vereist om willekeurige code uit te kunnen voeren. Of op zijn minst is externe toegang als beheerder vereist om van deze kwetsbaarheden te profiteren.
3. Het is vereist om de firmware-updates van de leveranciers toe te passen en uit te schakelen of het mogelijk is de services: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) en Intel ATM.
4. Verhoog de lokale en externe toegang tot het besturingssysteem door het beheersnetwerk te isoleren en toegangs- of gebruikersrechten voor het besturingssysteem te voorkomen.
5. Het is van invloed op virtuele of hardwareplatforms, lokale of cloudomgevingen of zelfs microservices. Elke laag zou moeten zorgen voor de bescherming van deze dreiging.

Kernel Memory Lekt kwetsbaarheid of Intel CPU-bug

Intel-CPU's zijn beïnvloed door een kritieke beveiligingsincident op chipniveau die niet kan worden opgelost door een microcode-update, maar op OS-niveau en van invloed is op al deze (Windows, Linux en macOS.

De Kernel Memory Lekt kwetsbaarheid het probleem onder ogen zien waarbij elk gebruikersruimteprogramma (databases, javascript, webbrowsers, enz.) illegaal toegang kan krijgen tot bepaalde inhoud in beschermd kernelgeheugen, door de grenzen van het virtuele geheugen te overschrijden die zijn opgegeven in het besturingssysteem. De oplossing op OS-niveau komt met de implementatie van de Kernel Page Table Isolation (KPTI) om ervoor te zorgen dat het kernelgeheugen onzichtbaar is voor de gebruikersprocessen.

Maar aangezien dit geen perfecte wereld is, introduceert de verbeterde beveiliging die door deze patch wordt toegepast een grote prestatieverbinding voor gebruikersprogramma's van ongeveer 30%. Ook zal de vertraging in hoge mate afhangen van de werkbelasting en het I / O-intensieve gebruik tussen de kernel en gebruikersruimteprogramma's. Voor de specifieke gevallen van netwerkfuncties binnen een datacenter is het niet zo kritisch omdat hun taken duidelijk zijn en niet te veel gegevens verwerken, hoewel intensieve Layer 7-functies zoals SSL-offload, content switching, enz.

Dit beveiligingslek kan voornamelijk worden misbruikt door programma's of ingelogde gebruikers om de gegevensinhoud van het kernelgeheugen te lezen. Om die reden is de kans groter dat omgevingen met gedeelde bronnen, zoals virtualisatie, microservices of cloudsystemen, worden beïnvloed en misbruikt.

Totdat er een definitieve patch op OS-niveau beschikbaar is, zullen de preventiepunten die we in de vorige sectie hebben vastgesteld, voorlopig voldoende zijn.

AMD heeft bevestigd dat hun processors niet worden beïnvloed door de kwetsbaarheid en dus ook niet door de strafprestaties.

Meltdown en Spectre-aanvallen

Smeltdown- en Spectre-aanvallen worden verwezen naar zijkanaalkwetsbaarheden die worden aangetroffen in verschillende CPU-hardware-implementaties, die voordeel halen uit de mogelijkheid om informatie te extraheren uit CPU-instructies die zijn uitgevoerd met behulp van de CPU-cache als een zijkanaal. Momenteel zijn er enkele varianten van deze aanvallen:

Variant 1 (CVE-2017-5753, spectrum): Grenzen controleren bypass
Variant 2 (CVE-2017-5715, ook spectrum): Branchendoelinjectie
Variant 3 (CVE-2017-5754, Kernsmelting): Schurkenstatencache laden, geheugentoegangsbevoegdheid controleren uitgevoerd na lezen van kernelgeheugen

Verdere technische uitleg van deze aanvallen in http://www.kb.cert.org/vuls/id/584653.

Impact van Meltdown en Spectre in Zevenet Load Balancers

Het risico van deze kwetsbaarheden in Zevenet Load Balancer is laag omdat een aanvaller lokale toegang tot het besturingssysteem moet hebben en schadelijke code met gebruikersrechten moet kunnen uitvoeren om hiervan te profiteren. Zevenet Enteprise Edition is een netwerkspecifiek apparaat waarmee een lokale niet-administratieve gebruiker code van derden niet kan uitvoeren, dus dit is onwaarschijnlijk en het kan worden voorkomen met goede beheerpraktijken.

Bovendien is het beheersnetwerk van Load Balancers meestal privé en is er standaard geen extra gebruiker dan een beheerder, dus het risico is laag. Anderzijds kunnen systemen met meerdere huurders, zoals openbare virtuele omgevingen, containers, platforms en cloudomgevingen het grootste risico lopen.

Volg de beveiligingsaanbevelingen die we hierboven hebben vermeld om de aanval te voorkomen.

Momenteel zijn er enkele patches op besturingssysteemniveau om deze kwetsbaarheden volledig te verminderen, maar ze veroorzaken een aantal bijwerkingen van de prestaties. Ons beveiligingsteam werkt aan een definitieve patch om deze beveiligingsdreiging zo snel mogelijk te beperken met de minimale impact in uw application delivery-services.

Verdere communicatie zal worden verzorgd door de Officiële ondersteuningskanalen.

Delen op:

Documentatie onder de voorwaarden van de GNU-licentie voor vrije documentatie.

Was dit artikel behulpzaam?

Gerelateerde artikelen