Actueel — Nieuws
Vorige week is er informatie gepubliceerd omtrent een drietal bugs die aanwezig zijn in een breed scala van CPU’s, waaronder in ieder geval Intel en AMD CPU’s. Deze bugs, die door het leven gaan als Spectre (2 bugs) en Meltdown (1 bug), hebben zo ongeveer impact op de hele IT. Misbruik van deze bugs geeft de mogelijkheid om toegang te krijgen tot delen van het werkgeheugen waar een bepaald programma/proces geen toegang tot behoort te krijgen. Dit betekent dat malafide code toegang kan krijgen tot gevoelige informatie zoals passwords, security keys of bijvoorbeeld een bitcoin wallet. Het is ook mogelijk om vanuit een VM het geheugen van een andere VM uit te lezen. Dit is zeer ernstig. Deze whitepaper van Intel geeft een korte beschrijving van het probleem en voorgestelde mitigatieopties.
Dit artikel is voor het laatst gewijzigd op: 23 januari 2018 om 20:45
Patches beschikbaar
Gelukkig zijn inmiddels de nodige patches beschikbaar gesteld vanuit de verschillende vendoren; wel lijkt het zo te zijn dat deze patches in sommige gevallen negatieve invloed hebben op de performance. Dit is inherent aan de oorzaak van het probleem, waarbij versnelling van instructie-afhandeling kan plaatsvinden ten koste van de beveiliging van informatie (een duidelijk beschrijving van de bug kan hier worden gevonden: https://ds9a.nl/spectre/). Sommige patches dienen uitgerold te worden in combinatie met een update op de microcode (BIOS/firmware). Lees ook: Microcode tot nader orde ingetrokken, waardoor een deel van de patches niet uitgerold kan worden.
Het gebruik van deze technologie wordt door de patches beperkt wat automatisch leidt tot een verlaging van de performance of een verhoging van de belasting. Let wel, dit zal voor elke workload verschillend zijn en er is vooraf vrijwel niet in te schatten wat de impact zal zijn.
Toch is het in de opinie van PQR zeker verstandig om patching in overweging te nemen, omdat de gevolgen van het lek, vanuit een beveiligingsperspectief, zeer ernstig zijn. Kwaadwillenden zijn tenslotte ook op de hoogte van deze lekken en zullen proberen om deze te misbruiken voor hun eigen doelstellingen. Misbruik van deze bug is getest, maar er zijn (op het moment van schrijven) nog geen exploits “in het wild” bekend.
PQR raadt aan om bij patching een zorgvuldige methodiek te hanteren, waarbij geëvalueerd wordt wat de gevolgen zijn van de patches en in hoeverre de systemen gevoelig zijn voor de bug. Ook raadt PQR aan om eerst te testen in een test- of niet-kritische omgeving voordat de patches worden toegepast op de bedrijfskritische systemen.
Een veelgebruikte methodiek is:
- Understand – Begrijp wat het probleem is en begrijp hoe de patch een oplossing biedt voor het probleem. Evalueer in hoeverre de systemen gevoelig zijn voor het probleem en wat de gevolgen zijn van de patch.
- Test – Voer de patch uit op een afgeschermd deel van de omgeving (een test-omgeving) of op een beperkte set van niet-kritische systemen.
- Review – Evalueer de gevolgen van de toegepaste patch
- Release – Wanneer de patch geschikt wordt geacht voor brede uitrol, voer deze dan door op de rest van de omgeving
- Educate – Informeer de organisatie van het feit dat de patch is uitgerold en wat daarmee bereikt wordt
Om de gemelde problemen te mitigeren is er actie nodig op verschillende niveaus:
- Er dient een update op de microcode te worden doorgevoerd door middel van een BIOS/firmware update.
- Er dient een update op hypervisor niveau uitgevoerd te worden.
- Er dient een update op het niveau van het (Guest) OS uitgevoerd te worden.
Microcode tot nader orde ingetrokken
Update 12 januari 2018: De microcode die recent door verschillende OEMs is uitgebracht is tot nader order ingetrokken door problemen bij Intel CPU’s van de Broadwell en Hashwell generatie. Indien u deze microcode wel al heeft gedownload wordt geadviseerd om deze niet toe te passen. Daarnaast zijn eerdere patches die zijn uitgebracht door de verschillende software leveranciers ook terug getrokken. Deze patches werken namelijk samen met de hiervoor genoemde microcode. Voor nadere informatie verwijzen u graag naar de informatiepagina’s van de verschillende software leveranciers.
Update 23 januari 2018: Intel heeft duidelijk wat de problemen zijn met de eerder uitgebrachte microcode. Er is een nieuwe versie van de microcode beschikbaar die eerst naar de OEMs wordt gestuurd met de vraag om deze te testen. Verdere updates worden in de loop van deze week, danwel volgende week verwacht. Meer informatie is hier beschikbaar: https://newsroom.intel.com/news/root-cause-of-reboot-issue-identified-updated-guidance-for-customers-and-partners/
Let op de specifieke aandachtspunten m.b.t. de beschikbare upgrades die de verschillende leveranciers beschikbaar stellen. We delen graag de onderstaande links met u, waar u specifieke informatie kunt vinden die betrekking heeft op de Spectre/Meltdown bugs:
- Aruba Networks: http://www.arubanetworks.com/support-services/security-bulletins/
- Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel
- Citrix: https://www.citrix.com/blogs/2018/01/04/industry-wide-computer-processor-vulnerability-what-to-know-what-to-do/
- Dell: http://www.dell.com/support/article/nl/nl/nlbsdt1/sln308588/microprocessor-side-channel-vulnerabilities-cve-2017-5715-cve-2017-5753-cve-2017-5754-impact-on-dell-emc-products-dell-enterprise-servers-storage-and-networking-?lang=en#bios
- HPE: http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html en https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-hpesbhf03805en_us
- Lenovo: https://support.lenovo.com/nl/en/solutions/len-18282
- Microsoft: https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
- NetApp: https://security.netapp.com/advisory/ntap-20180104-0001/
- Nutanix: https://portal.nutanix.com/kb/5104
- RedHat: https://access.redhat.com/security/vulnerabilities/speculativeexecution
- VMware: https://kb.vmware.com/s/article/52245
Geplaatst door
