Contenido
Resumen
Intel ha publicado recientemente una serie de vulnerabilidades que afectan la implementación y el diseño de algunos de sus procesadores y firmwares, que las amenazas afectan desde las plataformas de los dispositivos a los servidores.
En las siguientes secciones, se describe cómo estas vulnerabilidades afectan a los dispositivos de red y la infraestructura basada en servidores en un centro de datos.
Vulnerabilidad del firmware de Intel
Para abordar los riesgos de estas vulnerabilidades, Intel ha publicado recomendaciones para ayudar a los administradores de sistemas y seguridad a enfrentar estas amenazas al proporcionar algunos recursos:
Revisión de seguridad de Intel-SA-00086
Artículo de soporte de Intel-SA-00086
Herramienta de detección Intel-SA-00086
Es recomendable lee las observaciones de arriba y aplicar las actualizaciones de firmware que los diferentes proveedores han brindado para mantener una infraestructura segura en caso de futuros ataques que puedan aprovechar estas debilidades.
Con respecto a cómo afectan estas vulnerabilidades a la infraestructura de red en un centro de datos, podemos resumir las siguientes premisas:
1. Estas vulnerabilidades afectan a la gran mayoría de procesadores Intel y es probable que se vean afectadas por cualquiera de ellas.
2. Estas vulnerabilidades se basan en una amenaza de escalada de privilegios y, por lo tanto, requieren acceso local al sistema operativo para poder ejecutar código arbitrario. O al menos, el acceso remoto como administrador debe aprovechar estas vulnerabilidades.
3. Será necesario aplicar las actualizaciones de firmware proporcionadas por los proveedores y deshabilitar si es posible los servicios: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) e Intel ATM.
4. Intensifique el acceso local y remoto al sistema operativo aislando la red de administración y evitando que los usuarios o los procesos accedan a los privilegios de acceso al sistema operativo.
5. Se ve afectado por plataformas virtuales o de hardware, entornos locales o en la nube, o incluso microservicios. Cada capa debe cuidar la protección de esta amenaza.
Vulnerabilidad de pérdida de memoria en el kernel o error de CPU Intel
Las CPU de Intel se han visto afectadas por un error de seguridad crítico en el nivel de chip que no se puede solucionar con una actualización de microcódigo, pero a nivel del sistema operativo y afecta a todos ellos (Windows, Linux y macOS).
El Vulnerabilidad de pérdida de memoria del kernel enfrente el problema donde cada programa de espacio de usuario (bases de datos, javascript, navegadores web, etc.) podría acceder ilegalmente a ciertos contenidos en la memoria protegida del kernel, al sobrepasar los límites de la memoria virtual especificados en el sistema operativo. La solución a nivel del sistema operativo viene con la implementación del Aislamiento de tabla de páginas de kernel (KPTI) Para asegurar la memoria del núcleo invisible para los procesos de usuario.
Pero, como este no es un mundo perfecto, la seguridad mejorada aplicada por este parche introduce una gran penalización de rendimiento para los programas de usuario de alrededor del 30%. Además, la ralentización dependerá enormemente de la carga de trabajo y del uso intensivo de E / S entre el kernel y los programas de espacio de usuario. Para los casos específicos de funciones de red dentro de un centro de datos, no es tan crítico ya que sus tareas son claras y no se tratan con demasiado procesamiento de datos, aunque funciones intensivas de capa 7 como descarga de SSL, cambio de contenido, etc.
Esta vulnerabilidad puede ser aprovechada principalmente por programas o usuarios registrados para leer el contenido de datos de la memoria del kernel. Por esa razón, los entornos de recursos compartidos como la virtualización, los microservicios o los sistemas en la nube tienen más probabilidades de verse afectados y abusados.
Hasta que no se proporcione un parche definitivo a nivel de sistema operativo, los puntos de prevención que hemos establecido en la sección anterior serán suficientes por ahora.
AMD ha confirmado que sus procesadores no se ven afectados por la vulnerabilidad y, por lo tanto, por la penalización del rendimiento.
Meltdown y ataques de espectro
Los ataques de Meltdown y Specter se refieren a las vulnerabilidades de canal lateral que se encuentran en varias implementaciones de hardware de la CPU, que aprovechan la capacidad de extraer información de las instrucciones de la CPU ejecutadas utilizando el caché de la CPU como un canal lateral. Actualmente, hay algunas variantes de estos ataques:
Variante 1 (CVE-2017-5753, Espectro): Bounds check bypass
Variante 2 (CVE-2017-5715, también Espectro): Inyección de rama
Variante 3 (CVE-2017-5754, Fusión de un reactor): Carga de caché de datos no autorizados, comprobación de permisos de acceso a la memoria realizada después de la lectura de la memoria del núcleo
Explicación técnica adicional de estos ataques en http://www.kb.cert.org/vuls/id/584653.
Impacto de la fusión y el espectro en los equilibradores de carga Zevenet
El riesgo de estas vulnerabilidades en Zevenet Load Balancer es bajo como atacante, debe tener acceso local al sistema operativo y debe poder ejecutar código malicioso con privilegios de usuario para aprovecharlos. Zevenet Enteprise Edition es un dispositivo específico de red que no permite que un usuario local no administrativo ejecute código de terceros, por lo que es poco probable que esto suceda y podría evitarse con buenas prácticas de administración.
Además, la red de administración de Load Balancers generalmente es privada y no hay un usuario adicional por defecto que un usuario administrativo, por lo que el riesgo es bajo. Por otro lado, los sistemas multiusuario como los entornos virtuales públicos, las plataformas de contenedores y los entornos de nube pueden enfrentar el mayor riesgo.
Para prevenir el ataque, siga las recomendaciones de seguridad que enumeramos anteriormente.
Actualmente, hay algunos parches a nivel del sistema operativo para mitigar completamente estas vulnerabilidades, pero producen algunos efectos secundarios de rendimiento. Nuestro equipo de seguridad está trabajando para proporcionar un parche definitivo para mitigar esta amenaza de seguridad lo antes posible con el mínimo impacto en los servicios de entrega de la aplicación.
Otras comunicaciones serán proporcionadas por el Canales oficiales de soporte.