Inteli püsivara ja protsessori tuuma mälu lekib

POSTITATUD 4. jaanuaril 2018

Ülevaade

Intel on hiljuti avaldanud rea haavatavusi, mis mõjutavad mõnede nende protsessorite ja firmade rakendamist ja disaini, mis ohustab seadmeid serveriplatvormidele.

Järgmistes jaotistes on kirjeldatud, kuidas need haavatavused mõjutavad andmekeskuse võrguseadmeid ja serveripõhist infrastruktuuri.

Intel Firmware'i haavatavus

Nende haavatavuste riskide lahendamiseks on Intel avaldanud soovitusi, et aidata süsteemi ja turvalisuse administraatoritel neid ohte lahendada, pakkudes mõningaid ressursse:

Intel-SA-00086i turvalisuse ülevaade
Intel-SA-00086 toe artikkel
Intel-SA-00086 tuvastustööriist

See on soovitatav lugege ülaltoodud tähelepanekuid ja rakendage püsivara värskendusi et erinevad müüjad on pakkunud turvalise infrastruktuuri säilitamiseks tulevaste rünnakute korral, mis võiksid neid puudusi ära kasutada.

Mis puudutab seda, kuidas need nõrgad kohad andmekeskuse võrguinfrastruktuurile mõjutavad, võime kokku võtta järgmised ruumid:

1. Need haavatavused mõjutavad enamikku Inteli protsessoreid ja tõenäoliselt mõjutab neid mõni neist.
2. Need nõrgad kohad põhinevad privileegide laienemise ohul ja seega nõuavad nad kohalikku juurdepääsu operatsioonisüsteemile, et võimaldada suvalise koodi täitmist. Või vähemalt on nõrkade kohtade kasutamiseks vaja kasutada kaugjuurdepääsu administraatorina.
3. Peate rakendama müüjate pakutavad püsivara värskendused ja keelama, kas teenused on võimalikud: Inteli haldusmootor (Intel ME), Inteli usaldusväärne täitmismootor (Intel TXE), Inteli serveriplatvormi teenused (SPS) ja Inteli sularahaautomaat.
4. Hoidke operatsioonisüsteemile kohalikku ja kaugjuurdepääsu, eraldades haldusvõrgu ning vältides operatsioonisüsteemi kasutajate juurdepääsuõigusi.
5. Seda mõjutavad virtuaalsed või riistvaralised platvormid, kohapealsed või pilvekeskkonnad või isegi mikroteenused. Iga kiht peaks hoolitsema selle ohu eest.

Kernel Memory Leaking haavatavus või Intel CPU viga

Inteli CPUd on mõjutanud kriitilise kriitilise tasemega turvalisuse viga, mida ei saa mikrokoodide värskendusega kinnitada, vaid operatsioonisüsteemi tasemel ja mõjutab neid kõiki (Windows, Linux ja MacOS.

. Kernel Memory Leaking haavatavus seisma silmitsi probleemiga, kus iga kasutaja ruumi programm (andmebaasid, javascript, veebibrauserid jne) saaks juurdepääsu kaitstud kerneli mälu teatud sisule ebaseaduslikult, ületades operatsioonisüsteemis määratud virtuaalmälu piire. Korrigeerimine operatsioonisüsteemi tasandil toimub programmi rakendamisega Kerneli lehe tabeli eraldamine (KPTI) tagada kerneli mälu kasutajaprotsessidele nähtamatu.

Kuid kuna see pole täiuslik maailm, kehtestab selle plaastri rakendatud täiustatud turvalisus kasutajaprogrammidele suure jõudlustrahvi, mis on umbes 30%. Samuti sõltub aeglustumine suuresti töökoormusest ja sisendi / väljundi intensiivsest kasutamisest tuuma ja kasutajaruumi programmide vahel. Andmekeskuse võrgufunktsioonide erijuhtudel pole see nii kriitiline, kuna nende ülesanded on selged ja seda ei töödelda liiga palju andmetöötlusega, kuigi intensiivne 7. kiht toimib nagu SSL-i mahalaadimine, sisu vahetamine jne.

Seda haavatavust saavad tuumamälu andmesisu lugemiseks kasutada peamiselt programmid või sisse loginud kasutajad. Sel põhjusel on ressursside jagatud keskkondi nagu virtualiseerimine, mikroteenused või pilvesüsteemid tõenäolisemalt mõjutatud ja kuritarvitatavad.

Kuni lõpliku plaastri väljaandmiseni OS-i tasemel piisab praeguses lõigus seatud ennetuspunktidest.

AMD on kinnitanud, et haavatavus ei mõjuta nende töötlejaid ja seega ka karistusjõudu.

Allakäigu ja spektri rünnakud

Allakäigu ja spektrirünnakute puhul viidatakse mitmetes CPU riistvararakendustes leiduvatele külgkanali haavatavustele, mis kasutavad ära võimalust saada CPU juhistest läbi külgkanalina teostatud informatsiooni. Praegu on neist rünnakutest mõned variandid:

Variant 1 (CVE-2017-5753, Spekter): Piirid kontrollivad möödavoolu
Variant 2 (CVE-2017-5715, ka Spekter): Haru sihtmärgi süstimine
Variant 3 (CVE-2017-5754, Meltdown): Rogue'i andmete vahemälu koormus, pärast kerneli mälu lugemist läbi viidud mälu juurdepääsu kontroll

Nende rünnakute tehniline selgitus http://www.kb.cert.org/vuls/id/584653.

Katkestuse ja spektri mõju Zevenet'i koormuse tasakaalustajatele

Nende haavatavuste risk Zevenet Load Balanceris on madal ründajal peaks olema operatsioonisüsteemile kohalik juurdepääs ja neil peaks olema võimalus kasutajate õigustega pahatahtlikku koodi käivitada, et neid ära kasutada. Zevenet Enteprise Edition on võrguspetsiifiline seade, mis ei luba kohalikul mitte-administratiivsel kasutajal kolmanda osapoole koodi käivitada, nii et see tõenäoliselt ei juhtu ja seda saaks hea haldustava abil ära hoida.

Lisaks on Load Balancers'i haldusvõrk tavaliselt eraviisiline ning ei ole vaikimisi ühtegi täiendavat kasutajat kui administraatori kasutaja, nii et risk on väike. Teiselt poolt võivad suurima riskiga olla mitme üürniku süsteemid, nagu näiteks virtuaalsed virtuaalsed keskkonnad, konteinerite platvormid ja pilvekeskkonnad.

Rünnaku vältimiseks järgige ülaltoodud turvalisuse soovitusi.

Praegu on operatsioonisüsteemi tasandil mõned nõrgad kohad, et neid haavatavusi täielikult leevendada, kuid need tekitavad mõningaid kõrvaltoimeid. Meie turvameeskond püüab pakkuda lõplikku plaastrit, et leevendada seda julgeolekuohtu nii kiiresti kui võimalik, avaldades minimaalset mõju teie rakendusteenuste osutamisele.

Edasisi teabevahetusi pakub Ametlikud tugikanalid.

Jaga:

Dokumentatsioon GNU Vaba Dokumentatsiooni Litsentsi tingimustel.

Kas see artikkel oli kasulik?

seotud artiklid