Oversigt #

Intel har for nylig offentliggjort en række sårbarheder, der påvirker implementeringen og designet af nogle af deres processorer og firmwares, og som truer fra enheder til serverplatforme.

I de følgende afsnit beskrives, hvordan disse sårbarheder påvirker netværksenheder og serverbaseret infrastruktur i et datacenter.

Sårbarhed i Intel-firmware #

For at imødegå risiciene ved disse sårbarheder har Intel offentliggjort anbefalinger, der skal hjælpe system- og sikkerhedsadministratorer med at håndtere disse trusler ved at stille nogle ressourcer til rådighed:

Intel-SA-00086 sikkerhedsgennemgang
Intel-SA-00086 supportartikel
Intel-SA-00086 Detektionsværktøj

Det er anbefalelsesværdigt at læs observationerne ovenfor og anvende firmwareopdateringerne som de forskellige leverandører har leveret for at opretholde en sikker infrastruktur i tilfælde af fremtidige angreb, der kunne udnytte disse svagheder.

Med hensyn til hvordan disse sårbarheder påvirker netværksinfrastrukturen i et datacenter, kan vi opsummere følgende præmisser:

1. Disse sårbarheder påvirker langt de fleste Intel-processorer, og det er sandsynligt, at de vil blive påvirket af alle af dem.
2. Disse sårbarheder er baseret på en trussel om privilegieeskalering, og derfor kræver de lokal adgang til operativsystemet for at kunne udføre vilkårlig kode. Eller i det mindste kræves fjernadgang som administrator for at udnytte disse sårbarheder.
3. Det skal installeres firmwareopdateringer fra leverandørerne og deaktiveres, hvis det er muligt, følgende tjenester: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) og Intel ATM.
4. Gør lokal og fjernadgang til operativsystemet mere sikker ved at isolere administrationsnetværket og undgå bruger- eller procesadgangsrettigheder til operativsystemet.
5. Det påvirkes af virtuelle eller hardwareplatforme, lokale eller cloud-miljøer eller endda mikrotjenester. Hvert lag bør tage sig af beskyttelsen mod denne trussel.

Sårbarhed i forbindelse med lækage af kernehukommelse eller fejl i Intels CPU #

Intels CPU'er er blevet påvirket af en kritisk sikkerhedsfejl på chipniveau, som ikke kan rettes med en mikrokodeopdatering, men på OS-niveau, og som påvirker dem alle (Windows, Linux og macOS).

Sårbarhed i forbindelse med lækage af kernens hukommelse står over for problemet, hvor alle brugerprogrammer (databaser, javascript, webbrowsere osv.) kunne få ulovlig adgang til bestemt indhold i beskyttet kernehukommelse ved at overskride de virtuelle hukommelsesgrænser, der er angivet i operativsystemet. Løsningen på OS-niveau kommer med implementeringen af Isolering af kernesidetabel (KPTI) for at sikre, at kernehukommelsen er usynlig for brugerprocesser.

Men da dette ikke er en perfekt verden, introducerer den forbedrede sikkerhed, der anvendes af denne patch, en stor ydeevneforringelse for brugerprogrammer på omkring 30%. Derudover vil afmatningen i høj grad afhænge af arbejdsbyrden og den I/O-intensive brug mellem kernen og brugerpladsprogrammerne. For de specifikke tilfælde af netværksfunktioner i et datacenter er det ikke så kritisk, da deres opgaver er klare og ikke kræver for meget databehandling, selvom intensive lag 7-funktioner som SSL-offload, indholdsskift osv.

Denne sårbarhed kan primært misbruges af programmer eller indloggede brugere til at læse dataindholdet i kernens hukommelse. Af den grund er det mere sandsynligt, at ressourcedelte miljøer som virtualisering, mikrotjenester eller cloud-systemer bliver påvirket og misbrugt.

Indtil en endelig programrettelse på OS-niveau er leveret, vil de forebyggelsespunkter, vi har angivet i forrige afsnit, være tilstrækkelige for nu.

AMD har bekræftet, at deres processorer ikke er påvirket af sårbarheden og dermed af den negative ydeevne.

Meltdown- og Spectre-angreb #

Meltdown- og Spectre-angreb er sidekanalsårbarheder, der findes i adskillige CPU-hardwareimplementeringer, og som udnytter muligheden for at udtrække information fra CPU-instruktioner, der udføres ved hjælp af CPU-cachen som en sidekanal. I øjeblikket findes der et par varianter af disse angreb:

Variant 1 (CVE-2017-5753, Spectrum): Omgåelse af grænsekontrol
Variant 2 (CVE-2017-5715, også Spectrum): Injektion af grenmål
Variant 3 (CVE-2017-5754, Nedsmeltning): Ulovlig indlæsning af datacache, kontrol af adgangstilladelse til hukommelse udført efter læsning af kernelhukommelse

Yderligere teknisk forklaring af disse angreb i http://www.kb.cert.org/vuls/id/584653.

Indvirkningen af ​​​​Meltdown og Spectre i RELIANOID Indlæs balancere #

Risikoen ved disse sårbarheder i RELIANOID Load Balancer er lav Som en angriber skal de have lokal adgang til operativsystemet, og de skal være i stand til at udføre ondsindet kode med brugerrettigheder for at udnytte dem. RELIANOID Enterprise Edition er en netværksspecifik enhed, der ikke tillader en lokal ikke-administrativ bruger at udføre tredjepartskode, så dette er usandsynligt, at det sker, og det kan forhindres med god administrationspraksis.

Derudover er Load Balancer-administrationsnetværk normalt private, og der er som standard ingen yderligere bruger ud over en administrativ bruger, så risikoen er lav. På den anden side kan multi-tenant-systemer som offentlige virtuelle miljøer, containerplatforme og cloud-miljøer stå over for den største risiko.

For at forhindre angrebet skal du følge de sikkerhedsanbefalinger, vi har nævnt ovenfor.

Der findes i øjeblikket nogle programrettelser på operativsystemniveau, der fuldstændigt afhjælper disse sårbarheder, men de har visse bivirkninger i forhold til ydeevnen. Vores sikkerhedsteam arbejder på at levere en endelig programrettelse, der afhjælper denne sikkerhedstrussel hurtigst muligt med minimal indvirkning på dine applikationsleveringstjenester.

Yderligere kommunikation vil blive leveret af Officielle supportkanaler.