Содержание
Обзор
Корпорация Intel недавно опубликовала серию уязвимостей, которые влияют на реализацию и дизайн некоторых из их процессоров и прошивок, и эта угроза распространяется с устройств на серверные платформы.
В следующих разделах описывается, как эти уязвимости влияют на сетевые устройства и серверную инфраструктуру в центре обработки данных.
Уязвимость микропрограммы Intel
Чтобы устранить риски, связанные с этими уязвимостями, корпорация Intel опубликовала рекомендации, которые помогут системным администраторам и администраторам безопасности устранить эти угрозы, предоставив некоторые ресурсы:
Обзор безопасности Intel-SA-00086
Статья о поддержке Intel-SA-00086
Инструмент обнаружения Intel-SA-00086
Рекомендуется прочитайте наблюдения выше и применить обновления прошивки что разные поставщики предоставили для поддержания безопасной инфраструктуры в случае будущих атак, которые могли бы воспользоваться этими недостатками.
Относительно того, как эти уязвимости влияют на сетевую инфраструктуру в центре обработки данных, мы можем суммировать следующие предпосылки:
1. Эти уязвимости затрагивают подавляющее большинство процессоров Intel, и на них может повлиять любой из них.
2. Эти уязвимости основаны на угрозе повышения привилегий, и, следовательно, они требуют локального доступа к операционной системе для выполнения произвольного кода. Или, по крайней мере, удаленный доступ от имени администратора необходим, чтобы воспользоваться этими уязвимостями.
3. Потребуется применить обновления микропрограмм, предоставленные поставщиками, и отключить, возможно, службы: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) и Intel ATM.
4. Усильте локальный и удаленный доступ к операционной системе, изолировав сеть управления и избегая привилегий доступа пользователей или процессов к операционной системе.
5. Это затрагивает виртуальные или аппаратные платформы, локальные или облачные среды или даже микросервисы. Каждый уровень должен позаботиться о защите от этой угрозы.
Уязвимость утечки памяти ядра или ошибка процессора Intel
Процессоры Intel были затронуты критической ошибкой безопасности на уровне микросхемы, которая не может быть исправлена обновлением микрокода, но на уровне ОС и влияет на все из них (Windows, Linux и macOS.
Наблюдения и советы этой статьи мы подготовили на основании опыта команды Уязвимость утечки памяти ядра столкнуться с проблемой, когда каждая программа пользовательского пространства (базы данных, javascript, веб-браузеры и т. д.) может получить незаконный доступ к определенному содержимому в защищенной памяти ядра, преодолев границы виртуальной памяти, указанные в операционной системе. Исправление на уровне ОС поставляется с реализацией Изоляция таблицы страниц ядра (KPTI) обеспечить память ядра невидимой для пользовательских процессов.
Но, поскольку это не идеальный мир, усиленная безопасность, применяемая этим патчем, приводит к значительному снижению производительности для пользовательских программ примерно на 30%. Кроме того, замедление будет во многом зависеть от рабочей нагрузки и интенсивного использования операций ввода-вывода между ядром и программами пользовательского пространства. Для конкретных случаев сетевых функций в центре обработки данных это не так важно, поскольку их задачи ясны и не требуют слишком большой обработки данных, хотя интенсивные функции уровня 7, такие как разгрузка SSL, переключение контента и т. Д.
Этой уязвимостью могут злоупотреблять в основном программы или вошедшие в систему пользователи для чтения содержимого данных из памяти ядра. По этой причине среды с общими ресурсами, такие как виртуализация, микросервисы или облачные системы, с большей вероятностью будут затронуты и злоупотребят.
Пока не будет предоставлен окончательный патч на уровне ОС, точек предотвращения, которые мы установили в предыдущем разделе, на данный момент будет достаточно.
AMD подтвердила, что их процессоры не подвержены уязвимости и, следовательно, снижению производительности.
Атаки Meltdown и Spectre
Атаки Meltdown и Spectre относятся к уязвимостям побочного канала, обнаруженным в нескольких реализациях аппаратного обеспечения ЦП, которые используют возможность извлечения информации из инструкций ЦП, выполняемых с использованием кэша ЦП в качестве побочного канала. В настоящее время существует несколько вариантов этих атак:
Вариант 1 (CVE-2017-5753, Spectre): Обход ограничений
Вариант 2 (CVE-2017-5715, также Spectre): Ветвь целевой инъекции
Вариант 3 (CVE-2017-5754, Meltdown): Мошенническая загрузка данных в кэш, проверка прав доступа к памяти выполняется после чтения памяти ядра
Дальнейшее техническое объяснение этих атак в http://www.kb.cert.org/vuls/id/584653.
Влияние распада и призрака на балансировщики нагрузки Zevenet
Риск этих уязвимостей в Zevenet Load Balancer низок поскольку злоумышленник должен иметь локальный доступ к операционной системе, и он должен иметь возможность выполнять вредоносный код с правами пользователя, чтобы воспользоваться ими. Zevenet Enteprise Edition - это сетевое устройство, которое не позволяет локальному пользователю без прав администратора выполнять сторонний код, поэтому это маловероятно, и его можно предотвратить с помощью надлежащих методов администрирования.
Кроме того, сеть управления балансировщиком нагрузки, как правило, является частной, и по умолчанию нет никакого дополнительного пользователя, кроме администратора, поэтому риск низок. С другой стороны, мультитенантные системы, такие как общедоступные виртуальные среды, контейнерные платформы и облачные среды, могут подвергаться наибольшему риску.
Чтобы предотвратить атаку, следуйте рекомендациям по безопасности, которые мы перечислили выше.
В настоящее время существуют некоторые исправления на уровне операционной системы для полного устранения этих уязвимостей, но они приводят к некоторым побочным эффектам производительности. Наша команда безопасности работает над тем, чтобы предоставить как можно скорее исправление для устранения этой угрозы безопасности с минимальным воздействием на ваши службы доставки приложений.
Дальнейшие сообщения будут предоставлены Официальные каналы поддержки.