Stato Patch di Sicurezza per Vulnerabilità Spectre e Meltdown

 

Proto: N010118.

 

Con la presente Yoroi desidera informarLa riguardo ai recenti sviluppi relativi alle vulnerabilità Spectre e Meltdown pubblicate ad inizio 2018 le quali affliggono in maniera pervasiva varie generazioni di CPU moderne:

  • Meltdown: principalmente CPU Intel (ogni cpu dal 1995 eccetto Intel Itanium e Atom prima del 2013)
    • La problematica è relativa a condizioni di esecuzione speculativa per le quali è possibile bypassare i controlli di sicurezza ed accedere ad aree memoria privilegiate da parte di un processo malevolo.
  • Spectre: CPU Intel, AMD e  ARM
    • Problematica di “Information Leakage” legata all’esecuzione speculativa di codice da parte di processi malevoli al fine di accedere ad aree di memoria inattese generalmente all’interno dello stesso processo.

Per via della potenziale ampiezza della superficie esposta alle problematiche, della dipendenza da fattori fisici, del rilascio di dettagli tecnici e strumenti atti alla replicazione delle criticità, risulta importante pianificare efficacemente l’applicazione delle patch di sicurezza per mitigare il rischio di futuri attacchi. 

A questo proposito Yoroi desidera effettuare alcune distinzioni sui principali scenari di rischio e sulle potenziali criticità legate all’applicazione degli aggiornamenti di sicurezza stessi.

In primo luogo le vulnerabilità Spectre e Meltdown richiedono che all’interno delle macchine vittima sia eseguito codice “malevolo”, perciò i principali scenari di rischio ai quali è opportuno prestare attenzione si articolano in:

  • Data Center e Cloud, dove utenti possono arbitrariamente eseguire programmi e macchine virtuali all’interno di nodi con risorse fisiche condivise (CPU e memoria), in quanto sono possibili attacchi che permettono ad una istanza  “Guest“ di accedere ad aree di memoria dell’Host/Hypervisor o di altri “Guest” sulla stessa infrastruttura, violandone la segregazione;
  • Jump Server e macchine ponte, dove utenti/fornitori/consulenti possono collegarsi per poi accedere a servizi interni (sia Linux che Windows), in quanto è possibile accedere ad aree di memoria inattese e di sistema (e.g. accesso a token di altre utenze, credenziali, chiavi private);
  • Browser Web all’interno di Client di rete, dai quali sono accedute sia risorse esterne che portali o documenti riservati, in quanto tali problematiche sono sfruttabili anche attraverso l’esecuzione di codice Javascript all’interno dei principali browser, permettendo l’accesso a dati e token di applicazioni web terze.

Tuttavia, l’applicazione delle patch di sicurezza può comportare problematiche operative pertanto è necessario prevedere opportuni test considerando:

  • Possibili problemi di compatibilità con sistemi Antivirus e moduli kernel, le patch per Spectre e Meltdown applicate a livello di sistema operativo possono presentare incompatibilità con i moduli kernel degli Antivirus in uso, pertanto, prima dell’applicazione degli aggiornamenti di sistema è necessario aggiornare le installazioni antivirus/antimalware e verificare lo stato di compatibilità direttamente con il proprio Vendor.
  • Problemi di compatibilità delle patch di Microsoft Windows con processori AMD Athlon, per i quali sono state registrate molteplici richieste di supporto per malfunzionamenti a seguito dell’applicazione degli aggiornamenti di sistema KB4056892.
  • Possibili problemi di performance, legate alla modifica dell’esecuzione speculativa. In questo frangente, per sistemi Linux/RedHat si possono utilizzare i seguenti riferimenti di base:
    • Range di impatto 8-19%, in caso di alti accessi a memoria e cache, buffered I/O, carichi di lavoro tipici legati a database OLTP
    • Range di impatto 3-7%, in applicazioni di database analytics, Decision Support System (DSS), applicazioni su Java VM.
    • Range di impatto 2-5%, in HPC (High Performance Computing) con carichi di lavoro CPU-intensive.

Di seguito si riportano i riferimenti ai principali bollettini di sicurezza relativi alle tecnologie di riferimento in ambito datacenter, server, cloud, OS ed applicativi utili alle mitigazioni degli scenari di rischio precedentemente descritti:

  • VMWare
    • https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
    • https://kb.vmware.com/s/article/52264
  • Citrix
    • https://support.citrix.com/article/CTX231390
  • SuperMicro
    • https://www.supermicro.com/support/security_Intel-SA-00088.cfm
  • HP
    • https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00039267en_us
  • Dell
    • http://www.dell.com/support/article/us/en/04/sln308588/microprocessor-side-channel-attacks–cve-2017-5715–cve-2017-5753–cve-2017-5754—impact-on-dell-emc-products–dell-enterprise-servers–storage-and-networking-?lang=en
  • Linux Kernel
    • https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.11
    • https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/log/?h=v4.15-rc6
  • RedHat
    • https://access.redhat.com/security/vulnerabilities/speculativeexecution
  • Ubuntu
    • https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/
  • SUSE Linux
    • https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
  • Microsoft Windows
    • https://support.microsoft.com/en-gb/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
    • https://support.microsoft.com/en-gb/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
  • Mozilla Firefox
    • https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
  • Google Chrome
    • https://www.chromium.org/Home/chromium-security/ssca
  • Microsoft Edge
    • https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index