Vulnerabilidades de 'vazamento de memória do kernel' do processador Intel Firmware

POSTADO POR Zevenet | 4 de janeiro de 2018

Visão geral

A Intel publicou recentemente uma série de vulnerabilidades que afetam a implementação e o design de alguns de seus processadores e firmwares, o que afeta ameaças de dispositivos a plataformas de servidores.

Nas seções a seguir, é descrito como essas vulnerabilidades afetam os dispositivos de rede e a infraestrutura baseada em servidor em um data center.

Vulnerabilidade de firmware Intel

Para lidar com os riscos dessas vulnerabilidades, a Intel publicou recomendações para ajudar administradores de sistemas e segurança a lidar com essas ameaças, fornecendo alguns recursos:

Revisão de segurança Intel-SA-00086
Artigo de suporte Intel-SA-00086
Ferramenta de Detecção Intel-SA-00086

É recomendável leia as observações acima e aplicar as atualizações de firmware que os diferentes fornecedores forneceram para manter uma infra-estrutura segura em caso de futuros ataques que poderiam tirar proveito desses pontos fracos.

Com relação a como essas vulnerabilidades afetam a infraestrutura de rede em um data center, podemos resumir as seguintes premissas:

1. Essas vulnerabilidades afetam a grande maioria dos processadores Intel e é provável que sejam afetadas por qualquer um deles.
2. Essas vulnerabilidades são baseadas em uma ameaça de escalonamento de privilégios e, portanto, exigem acesso local ao sistema operacional para poder executar código arbitrário. Ou, pelo menos, o acesso remoto como administrador é necessário para aproveitar essas vulnerabilidades.
3. Será necessário aplicar as atualizações de firmware fornecidas pelos fornecedores e desabilitar se os serviços são possíveis: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) e Intel ATM.
4. Protege o acesso local e remoto ao sistema operacional, isolando a rede de gerenciamento e evitando privilégios de acesso do usuário ou processos ao sistema operacional.
5. É afetado por plataformas virtuais ou de hardware, ambientes locais ou em nuvem ou até mesmo microsserviços. Cada camada deve cuidar da proteção desta ameaça.

Vulnerabilidade de vazamento de memória do kernel ou bug da CPU da Intel

Os processadores da Intel foram afetados por um bug crítico de segurança no nível do chip que não pode ser corrigido por uma atualização de microcódigo, mas no nível do sistema operacional e afeta todos eles (Windows, Linux e MacOS).

O Vulnerabilidade de vazamento de memória do kernel Enfrente o problema em que cada programa de espaço do usuário (bancos de dados, javascript, navegadores da Web, etc.) poderia acessar ilegalmente determinados conteúdos na memória protegida do kernel, superando os limites de memória virtual especificados no sistema operacional. A correção no nível do sistema operacional vem com a implementação do Isolamento da Tabela de Páginas do Kernel (KPTI) para garantir a memória do kernel invisível para os processos do usuário.

Mas, como este não é um mundo perfeito, a segurança aprimorada aplicada por este patch introduz uma grande penalidade de desempenho para programas de usuário de cerca de 30%. Além disso, a desaceleração dependerá enormemente da carga de trabalho e do uso intensivo de E / S entre o kernel e os programas de espaço do usuário. Para os casos específicos de funções de rede em um data center, não é tão crítico, pois suas tarefas são claras e não tratam com muito processamento de dados, embora funções intensivas da camada 7, como descarregamento de SSL, troca de conteúdo, etc.

Esta vulnerabilidade pode ser abusada principalmente por programas ou usuários conectados para ler o conteúdo de dados da memória do kernel. Por esse motivo, ambientes de recursos compartilhados como virtualização, microsserviços ou sistemas em nuvem têm maior probabilidade de ser afetados e abusados.

Até que um patch definitivo no nível do sistema operacional seja fornecido, os pontos de prevenção que definimos na seção anterior serão suficientes por enquanto.

A AMD confirmou que seus processadores não estão sendo afetados pela vulnerabilidade e, portanto, pelo desempenho da penalidade.

Ataques de fusão e espectro

Os ataques Meltdown e Specter são referidos às vulnerabilidades do canal lateral encontradas em várias implementações de hardware da CPU, que aproveitam a capacidade de extrair informações das instruções da CPU executadas usando o cache da CPU como um canal lateral. Atualmente, existem algumas variantes desses ataques:

Variante 1 (CVE-2017-5753, Espectro): Limite de verificação de limite
Variante 2 (CVE-2017-5715, também Espectro): Injeção de alvo de ramificação
Variante 3 (CVE-2017-5754, Fusão): Carregamento de cache de dados não autorizados, verificação de permissão de acesso à memória executada após a leitura da memória do kernel

Mais explicações técnicas sobre esses ataques em http://www.kb.cert.org/vuls/id/584653.

Impacto do colapso e do espectro nos balanceadores de carga Zevenet

O risco dessas vulnerabilidades no Zbalet Load Balancer é baixo já que um invasor deve ter acesso local ao sistema operacional e deve ser capaz de executar códigos maliciosos com privilégios de usuário para tirar proveito deles. Zevenet Enteprise Edition é um dispositivo específico de rede que não permite que um usuário local não administrativo execute código de terceiros, portanto, é improvável que isso aconteça e poderia ser evitado com boas práticas de administração.

Além disso, a rede de gerenciamento de balanceadores de carga geralmente é privada e não há nenhum usuário adicional, por padrão, que um usuário administrativo, portanto, o risco é baixo. Por outro lado, sistemas multilocatários, como ambientes virtuais públicos, plataformas de contêineres e ambientes de nuvem, podem enfrentar o maior risco.

Para evitar o ataque, siga as recomendações de segurança listadas acima.

Atualmente, existem alguns patches no nível do sistema operacional para atenuar completamente essas vulnerabilidades, mas eles produzem alguns efeitos colaterais de desempenho. Nossa equipe de segurança está trabalhando para fornecer um patch definitivo para reduzir essa ameaça de segurança o mais rápido possível, com o mínimo impacto nos serviços de entrega de aplicativos.

Outras comunicações serão fornecidas pelo Canais de Suporte Oficial.

Compartilhar no:

Documentação sob os termos da Licença de Documentação Livre GNU.

Esse artigo foi útil?

Artigos Relacionados