Indhold
Oversigt
Intel har for nylig offentliggjort en række sårbarheder, der påvirker implementeringen og designet af nogle af deres processorer og firmware, hvilken trussel påvirker fra enheder til serverplatforme.
I de følgende afsnit er det beskrevet, hvordan disse sårbarheder påvirker netværksenheder og serverbaseret infrastruktur i et datacenter.
Sikkerhedsfejl i Intel-firmware
For at imødegå risiciene ved disse sårbarheder har Intel udgivet anbefalinger til at hjælpe system- og sikkerhedsadministratorer med at løse disse trusler ved at give nogle ressourcer:
Intel-SA-00086 Security Review
Intel-SA-00086-supportartikel
Intel-SA-00086 Detection Tool
Det anbefales at læs bemærkningerne ovenfor anvend firmwareopdateringerne som de forskellige leverandører har givet for at opretholde en sikker infrastruktur i tilfælde af fremtidige angreb, der kunne udnytte disse svagheder.
Med hensyn til hvordan disse sårbarheder påvirker netværksinfrastrukturen i et datacenter, kan vi opsummere følgende lokaler:
1. Disse sårbarheder påvirker langt størstedelen af Intel-processorer, og det vil sandsynligvis blive påvirket af nogen af dem.
2. Disse sårbarheder er baseret på en eskaleringstrus for privilegier, og de kræver derfor lokal adgang til operativsystemet for at kunne udføre vilkårlig kode. Eller i det mindste er fjernadgang som administrator forpligtet til at udnytte disse sårbarheder.
3. Det vil være nødvendigt at anvende firmwareopdateringerne fra leverandørerne og deaktivere, om det er muligt tjenesterne: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) og Intel ATM.
4. Hær lokal og fjernadgang til operativsystemet ved at isolere administrationsnetværket og undgå bruger eller behandler adgangsrettigheder til operativsystemet.
5. Det påvirkes af virtuelle platforme eller hardwareplatforme, lokale eller cloud-miljøer eller endda mikrotjenester. Hvert lag skal tage sig af beskyttelsen af denne trussel.
Kernel Memory Leaking sårbarhed eller Intel CPU bug
Intel-CPU'er er blevet påvirket af en kritisk sikkerhedsniveau på chipniveau, der ikke kan løses ved hjælp af en mikrokodopdatering, men på OS-niveau og påvirker dem alle (Windows, Linux og MacOS.
Kernel Memory Leak sårbarhed står over for problemet, hvor hvert brugerrumsprogram (databaser, javascript, webbrowsere osv.) kunne få adgang ulovligt til bestemte indhold i beskyttet kernel memory, ved at overgå de virtuelle hukommelsesgrænser angivet i operativsystemet. Opløsningen på OS niveau kommer med implementeringen af Kernel Side Table Isolation (KPTI) for at sikre kernehukommelsen usynlig for brugerprocesserne.
Men da dette ikke er en perfekt verden, indfører den forbedrede sikkerhed, der anvendes af denne patch, en stor ydeevne for brugerprogrammer på omkring 30%. Desuden afhænger afmatningen massivt af arbejdsbyrden og den I / O-intensive brug mellem kernen og brugerrumsprogrammerne. I de specifikke tilfælde af netværksfunktioner i et datacenter er det ikke så kritisk, da deres opgaver er klare og ikke behandles med for meget databehandling, selvom intensivt lag 7 fungerer som SSL-offload, indholdskobling osv.
Denne sårbarhed kan hovedsageligt misbruges af programmer eller indloggede brugere til at læse dataindholdet i kernens hukommelse. Af den grund er ressource delte miljøer som virtualisering, mikrotjenester eller cloud-systemer mere tilbøjelige til at blive påvirket og misbrugt.
Indtil der gives en endelig programrettelse på OS-niveau, vil de forebyggelsespunkter, vi har sat i det forrige afsnit, være tilstrækkelige indtil videre.
AMD har bekræftet, at deres processorer ikke bliver påvirket af sårbarheden og dermed af straffen.
Meltdown og Specter angreb
Meltdown og Specter-angreb henvises til sidekanals sårbarheder, der findes i flere CPU hardware implementeringer, der udnytter evnen til at udtrække information fra CPU instruktioner udført ved hjælp af CPU cachen som en sidekanal. I øjeblikket er der nogle få varianter af disse angreb:
Variant 1 (CVE-2017-5753, Spectrum): Bounds check bypass
Variant 2 (CVE-2017-5715, også Spectrum): Branchinjektion
Variant 3 (CVE-2017-5754, Nedsmeltning): Rogue data cache load, hukommelsesadgang tilladelse kontrol udført efter kernehukommelse læses
Yderligere teknisk forklaring af disse angreb i http://www.kb.cert.org/vuls/id/584653.
Virkninger af smeltning og spektrum i Zevenet-belastningsbalancer
Risikoen for disse sårbarheder i Zevenet Load Balancer er lav som en angriber skal have lokal adgang til operativsystemet, og de skal være i stand til at udføre ondsindet kode med brugerrettigheder for at udnytte dem. Zevenet Enteprise Edition er et netværksspecifikt apparat, der ikke tillader en lokal ikke-administrativ bruger at udføre tredjepartskode, så det er usandsynligt, at det sker, og det kunne forhindres med god administrationspraksis.
Derudover er Load Balancers Management Network normalt privat, og der er som standard ingen yderligere brugere end en administrativ bruger, så risikoen er lav. På den anden side kan multi-lejersystemer som offentlige virtuelle miljøer, containerplatforme og skymiljøer have størst risiko.
For at forhindre angrebet skal du følge de sikkerhedsanbefalinger, som vi nævnte ovenfor.
I øjeblikket er der nogle patches på operativsystemniveau for fuldstændigt at begrænse disse sårbarheder, men de giver nogle ydeevne bivirkninger. Vores sikkerhedsteam arbejder for at tilvejebringe en endelig patch for at afbøde denne sikkerhedstrussel så hurtigt som muligt med den mindste virkning i dine applikationsleveringsydelser.
Yderligere kommunikation vil blive leveret af Officielle supportkanaler.