פרצות קושחה ומעבד של אינטל 'זיכרון ליבה דולף'

פורסם על ידי זאבנט | 4 בינואר, 2018

סקירה כללית

אינטל פרסמה לאחרונה שורה של פגיעויות המשפיעה על יישום ועיצוב של כמה מעבדים שלהם firmwares, אשר האיום משפיע על התקנים פלטפורמות שרתים.

בסעיפים הבאים מתואר כיצד פגיעות אלה משפיעות על התקני רשת ותשתית מבוססת שרתים במרכז נתונים.

פגיעות של Intel Firmware

כדי להתמודד עם הסיכונים של פגיעויות אלה, פרסמה אינטל המלצות כדי לסייע למנהלי מערכת ואבטחה לטפל באיומים אלה על-ידי אספקת משאבים מסוימים:

אינטל- SA-00086 סקירה אבטחה
Intel-SA-00086 מאמר תמיכה
Intel-SA-00086 כלי איתור

זה מומלץ קרא את התצפיות לעיל ו להחיל את עדכוני הקושחה כי הספקים השונים סיפקו כדי לשמור על תשתית בטוחה במקרה של התקפות עתידיות כי יכול לנצל את החולשות האלה.

לגבי האופן שבו פגיעות זו משפיעה על תשתית הרשתות במרכז נתונים, אנו יכולים לסכם את ההנחות הבאות:

1. פגיעות אלו משפיעות על הרוב המכריע של מעבדי אינטל וסביר להניח שהיא תושפע מכל אחת מהן.
2. פגיעויות אלה מבוססות על איום הסלמה של הרשאות, ולכן הן מחייבות גישה מקומית למערכת ההפעלה כדי שתוכל לבצע קוד שרירותי. או לפחות, גישה מרחוק כמנהל נדרשת לנצל את הפגיעות.
3. יידרש להחיל את עדכוני הקושחה המסופקים על ידי הספקים ולהשבית אם השירותים אפשריים: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) ו- Intel ATM.
4. התקשרו לגישה מקומית ומרוחקת למערכת ההפעלה על ידי בידוד רשת הניהול והימנעות ממערכות הפעלה של משתמשים או תהליכים למערכת ההפעלה.
5. זה מושפע מפלטפורמות וירטואליות או חומרה, סביבות מקומיות או ענן, או אפילו מיקרו-שירותים. כל שכבה צריכה לדאוג להגנה על האיום הזה.

זיכרון ליבה דולף פגיעות או אינטל מעבד

מעבדי Intel הושפעו מבדיקת אבטחה קריטית ברמת השבב שאינה ניתנת לתיקון על-ידי עדכון microcode, אלא ברמת מערכת ההפעלה ומשפיעה על כולם (Windows, Linux ו- macOS.

אל האני זיכרון ליבה דולף פגיעות פונה אל הבעיה שבה כל תוכנית שטח משתמש (מסדי נתונים, JavaScript, דפדפני אינטרנט וכו ') יכולה לגשת באופן בלתי חוקי לתכנים מסוימים בזיכרון הקרנל המוגן, על ידי מעבר לגבולות הזיכרון הווירטואליים שצוינו במערכת ההפעלה. התיקון ברמת OS מגיע עם יישום Kernel לוח בידוד דף (KPTI) כדי להבטיח את זיכרון הקרנל בלתי נראה לתהליך המשתמש.

אך מכיוון שלא מדובר בעולם מושלם, האבטחה המשופרת שמופעלת על ידי תיקון זה מציגה עונש ביצועים גדול על תוכניות משתמשים בסביבות 30%. כמו כן, ההאטה תהיה תלויה באופן משמעותי בעומס העבודה ובשימוש אינטנסיבי בקלט / פלט בין הליבה לתוכניות שטח המשתמשים. במקרים ספציפיים של פונקציות רשת במרכז נתונים, זה לא כל כך קריטי מכיוון שמשימותיהם ברורות ואינן מטפלות בעיבוד נתונים רב מדי אם כי שכבת 7 אינטנסיבית מתפקדת כמו העברת SSL, החלפת תוכן וכו '.

פגיעות זו יכולה להיות מנוצלת לרעה בעיקר על ידי תוכניות או משתמשים מחוברים כדי לקרוא את תוכן הנתונים של זיכרון הליבה. מסיבה זו סבירות גבוהה יותר כי סביבות משותפות של משאבים כמו וירטואליזציה, מיקרו-שירותים או מערכות ענן יושפעו ותופעלו לרעה.

עד שתסופק תיקון סופי ברמת מערכת ההפעלה, נקודות המניעה שקבענו בחלק הקודם, יספיקו לעת עתה.

AMD אישרה כי המעבדים שלהם אינם מושפעים על ידי הפגיעות ולכן, על ידי ביצוע העונש.

התקפות Meltdown ו- Specter

התקפות Meltdown ו- Specter מופנות לפגיעויות של ערוצים חיצוניים הנמצאות במספר יישומי חומרה של CPU, המנצלות את היכולת לחלץ מידע מהוראות ה- CPU שבוצעו באמצעות מטמון ה- CPU כערוץ צד. נכון לעכשיו, יש כמה גרסאות של התקפות אלה:

Variant 1 (CVE-2017-5753, ספקטרום): לבדוק גבולות לעקוף
Variant 2 (CVE-2017-5715, גם ספקטרום): הזרקת יעד
Variant 3 (CVE-2017-5754, המשבר): מטמון נתונים מטושטשת לטעון, זיכרון אישור רשות לבדוק מבוצעת לאחר זיכרון ליבה לקרוא

הסבר טכני נוסף על התקפות אלה http://www.kb.cert.org/vuls/id/584653.

ההשפעה של Meltdown ו ספקטר ב Zevenet טען Balancers

הסיכון של פגיעויות אלה ב Zevenet Load Balancer הוא נמוך כתוקף צריך להיות גישה מקומית למערכת ההפעלה והם צריכים להיות מסוגלים לבצע קוד זדוני עם הרשאות משתמש על מנת לנצל אותם. מהדורת Zevenet Enteprise היא מכשיר ספציפי ברשת שאינו מאפשר למשתמש מקומי שאינו אדמיניסטרטיבי לבצע קוד צד שלישי, ולכן סביר להניח שזה לא יקרה וניתן היה למנוע זאת בשיטות ניהול טובות.

בנוסף, רשת Balancers Load הם בדרך כלל פרטיים ואין כברירת מחדל כל משתמש נוסף מאשר משתמש מינהלי, ולכן הסיכון הוא נמוך. מצד שני, מערכות רב שכירות כמו סביבות וירטואליות ציבוריות, פלטפורמות מכולות וסביבות ענן יכולות לעמוד בפני הסיכון הגדול ביותר.

כדי למנוע את הפיגוע, אנא עקוב אחר ההמלצות הביטחוניות המפורטות לעיל.

נכון לעכשיו, יש כמה תיקונים ברמת מערכת ההפעלה כדי להפחית לחלוטין את הפגיעויות האלה, אבל הם מייצרים כמה תופעות לוואי ביצועים. צוות האבטחה שלנו פועל כדי לספק תיקון מוחלט כדי להקל על איום אבטחה זה בהקדם האפשרי עם ההשפעה המינימלית על שירותי משלוח היישומים שלך.

תקשורת נוספת תינתן על ידי ערוצי תמיכה רשמיים.

תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

מאמרים נוספים