Kerentanan Intel Firmware dan Processor 'Kernel memory bocor'

DIPOS oleh Zevenet | 4 Januari 2018

Gambaran Keseluruhan

Intel baru-baru ini telah menerbitkan satu siri kelemahan yang mempengaruhi pelaksanaan dan reka bentuk beberapa pemproses dan firma mereka, yang memberi ancaman dari peranti ke platform pelayan.

Dalam bahagian berikut dijelaskan bagaimana kelemahan ini mempengaruhi peranti rangkaian dan infrastruktur berasaskan pelayan di pusat data.

Kerentanan Firmware Intel

Untuk menangani risiko kelemahan ini, Intel telah menerbitkan cadangan untuk membantu sistem dan pentadbir keselamatan untuk menangani ancaman ini dengan menyediakan beberapa sumber:

Kajian Keselamatan Intel-SA-00086
Perkara Sokongan Intel-SA-00086
Alat Pengesan Intel-SA-00086

Ia adalah wajar untuk baca pemerhatian di atas dan memohon kemas kini firmware bahawa vendor yang berbeza telah menyediakan untuk mengekalkan infrastruktur yang selamat sekiranya berlaku serangan masa depan yang boleh mengambil kesempatan daripada kelemahan-kelemahan ini.

Dalam hal bagaimana kelemahan ini mempengaruhi infrastruktur rangkaian di pusat data, kita dapat meringkaskan premis berikut:

1. Kerentanan ini mempengaruhi sebahagian besar pemproses Intel dan kemungkinan akan dipengaruhi oleh mana-mana dari mereka.
2. Kerentanan ini didasarkan pada ancaman peluncuran hak istimewa, dan dengan itu, mereka memerlukan akses tempatan ke sistem operasi untuk dapat melaksanakan kod sewenang-wenangnya. Atau sekurang-kurangnya, akses jauh sebagai pentadbir diperlukan untuk memanfaatkan kelemahan ini.
3. Ia perlu menerapkan kemas kini firmware yang diberikan oleh vendor dan mematikan sama ada mungkin perkhidmatannya: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) dan Intel ATM.
4. Harden akses tempatan dan jauh ke sistem operasi dengan mengasingkan rangkaian pengurusan dan mengelakkan pengguna atau memproses keistimewaan akses ke sistem pengendalian.
5. Ini terpengaruh pada platform maya atau perkakasan, persekitaran di premis atau awan, atau bahkan perkhidmatan mikro. Setiap lapisan harus berhati-hati melindungi ancaman ini.

Kernel Memory Bocor vulnerability atau Intel CPU bug

CPU Intel telah terjejas oleh pepijat tahap cip kritikal yang tidak boleh diperbaiki oleh kemas kini mikrokod, tetapi pada tahap OS dan memberi kesan kepada mereka semua (Windows, Linux dan macOS.

. Kernel Memory Bocor vulnerability menghadapi masalah di mana setiap program ruang pengguna (pangkalan data, javascript, pelayar web, dan lain-lain) boleh mengakses secara tidak sah ke kandungan tertentu dalam ingatan kernel dilindungi, dengan melampaui batas memori maya yang dinyatakan dalam sistem operasi. Pembaikan pada tahap OS dilengkapi dengan pelaksanaan Pengasingan Jadual Halaman Kernel (KPTI) untuk memastikan memori kernel tidak kelihatan kepada proses pengguna.

Tetapi, kerana ini bukan dunia yang sempurna, keamanan yang ditingkatkan yang diterapkan oleh patch ini memperkenalkan hukuman prestasi yang besar untuk program pengguna sekitar 30%. Juga, perlambatan akan sangat bergantung pada beban kerja dan penggunaan intensif I / O antara kernel dan program ruang pengguna. Untuk kes tertentu fungsi rangkaian dalam pusat data, tidak begitu penting kerana tugasnya jelas dan tidak menangani pemprosesan data yang terlalu banyak walaupun lapisan 7 yang intensif berfungsi seperti pemuatan SSL, pertukaran kandungan, dll.

Kerentanan ini dapat disalahgunakan terutamanya oleh program atau pengguna yang log masuk untuk membaca kandungan data memori kernel. Atas sebab itu, persekitaran yang dikongsi sumber seperti virtualisasi, perkhidmatan mikro atau sistem awan lebih cenderung terjejas dan disalahgunakan.

Sehingga patch pasti pada peringkat OS disediakan, titik pencegahan yang telah kami tetapkan di bahagian sebelumnya, akan cukup untuk sekarang.

AMD mengesahkan bahawa pemproses mereka tidak terjejas oleh kelemahan dan dengan itu, dengan prestasi penalti.

Serangan dan serangan Serangan

Serangan meleleh dan Serangan dirujuk kepada kelemahan saluran sisi yang terdapat dalam beberapa perkakasan perkakasan CPU, yang memanfaatkan keupayaan untuk mengekstrak maklumat dari arahan CPU yang dilaksanakan menggunakan cache CPU sebagai saluran sampingan. Pada masa ini, terdapat beberapa varian serangan ini:

Variant 1 (CVE-2017-5753, spektrum): Luka pintasan periksa
Varian 2 (CVE-2017-5715, juga spektrum): Suntikan sasaran cawangan
Variant 3 (CVE-2017-5754, Kemelesetan): Beban capaian data Rogue, semakan capaian akses memori yang dilakukan selepas memori kernel dibaca

Penjelasan teknikal yang lebih lanjut tentang serangan ini di http://www.kb.cert.org/vuls/id/584653.

Kesan Kemelesetan dan Spektrum di Zevenet Load Balancers

Risiko kelemahan ini di Zevenet Load Balancer adalah rendah sebagai penyerang harus mempunyai akses tempatan ke sistem operasi dan mereka harus dapat melaksanakan kod jahat dengan hak pengguna untuk memanfaatkannya. Zevenet Enteprise Edition adalah alat khusus rangkaian yang tidak membenarkan pengguna bukan pentadbiran tempatan melaksanakan kod pihak ketiga, jadi ini tidak mungkin terjadi dan dapat dicegah dengan amalan pentadbiran yang baik.

Di samping itu, rangkaian pengurusan Load Balancers biasanya bersifat peribadi dan tidak secara lalai ada pengguna tambahan daripada pengguna pentadbiran, jadi risiko rendah. Sebaliknya, sistem multi-penyewa seperti persekitaran maya awam, platform kontena dan persekitaran awan boleh menghadapi risiko terbesar.

Untuk mengelakkan serangan, sila ikuti saran keselamatan yang kami nyatakan di atas.

Pada masa ini, terdapat beberapa patch pada tahap Sistem Operasi untuk mengurangkan sepenuhnya kelemahan ini tetapi menghasilkan beberapa kesan sampingan prestasi. Pasukan Keselamatan kami sedang berusaha untuk menyediakan patch muktamad untuk mengurangkan ancaman keselamatan ini secepat mungkin dengan impak minimum dalam perkhidmatan penghantaran aplikasi anda.

Komunikasi lanjut akan disediakan oleh Saluran Sokongan Rasmi.

Berkongsi pada:

Dokumentasi di bawah syarat-syarat Lesen Dokumentasi Bebas GNU.

Adakah artikel ini berguna?

Artikel yang berkaitan