OVH – informacje o podatności L1 Terminal Fault (L1TF) / Foreshadow

W ramach partnerstwa ze spółką Intel, zostaliśmy niedawno poinformowani o odkryciu wektora wykorzystującego luki typu „ataki polegające na spekulatywnym wykonywaniu kodu oraz wydobywaniu informacji bocznymi kanałami” (speculative execution side-channel attacks). Ta nowa podatność,  L1 Terminal Fault (L1TF), nazywana też Foreshadow, jest zatem podobna do luk Spectre i Meltdown ujawnionych w styczniu i w maju 2018.

 

Co to jest L1TF?

Podatność nazwana L1 Terminal Fault (L1TF) lub „Foreshadow” dotyczy procesorów wykorzystujących technologię SMT (bardziej znaną pod nazwą Hyper-Threading w procesorach Intel). Podatność ta może umożliwić złośliwemu kodowi wykonanemu w wątku dostęp do danych pamięci podręcznej L1 innego wątku w tym samym rdzeniu.

L1TF / Foreshadow to podatność bardzo trudna do wykrycia. Dopiero weryfikacja jej działania przeprowadzona w warunkach laboratoryjnych pozwoliła potwierdzić jej istnienie. Mimo że brakuje danych pozwalających stwierdzić, czy została w rzeczywistości wykorzystana, powstały już trzy jej warianty (poziomu „high”):

  • L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: L/A: N.
  • L1 Terminal Fault – OS, SMM (CVE-2018-3620)
7.1 High CVSS : 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N.
  • L1 Terminal Fault – SGX (CVE-2018-3646) 7.1 High CVSS: 3.0/AV: L/AC: L/PR: N/UI: N/S: C/C: H/I: N/A: N.

 

Jak chronić się przed tą podatnością?

Mitygacja wspomnianych trzech wariantów L1 Terminal Fault (L1TF) polega na dwóch działaniach:

  • użyciu mikrokodów dostarczanych od maja (za pośrednictwem boot UEF OVH i/lub systemu operacyjnego);
  • aktualizacji systemów operacyjnych i jąder (główni producenci systemów operacyjnych i hiperwizorów rozpoczynają dystrybucję łatki).

Kiedy poprawki będą już dostępne, OVH wdroży je na swoich serwerach-hostach. Wdrożenie jak zwykle będzie poprzedzone wewnętrznymi testami regresywnymi.

Klienci, którzy wykupili usługi zarządzane (hosting, konto pocztowe, etc.) nie będą musieli wykonywać żadnych działań.

Klienci dysponujący dostępem root do infrastruktury (serwery dedykowane, VPS, Public Cloud, Private Cloud, etc.) powinni w celu jej zabezpieczenia przeprowadzić aktualizację systemu operacyjnego i kernela (https://docs.ovh.com/pl/dedicated/aktualizacja-jadro-kernel-serwer-dedykowany/).

 

Informacje dodatkowe dotyczące wariantu CVE-2018-3646

W przypadku wariantu 2646 luki Foreshadow producenci oprogramowania będą prawdopodobnie potrzebowali dodatkowego czasu na przygotowanie poprawki. W międzyczasie możesz zabezpieczyć infrastrukturę przed luką, wyłączając Hyper-Threading. Dezaktywacja opcji jest możliwa, w zależności od przypadku, bezpośrednio w systemie operacyjnymi (Linux, Windows,…). Zgodnie z posiadaną przez nas wiedzą VMware ESXi powinien udostępnić tę funkcjonalność wraz z kolejną aktualizacją.

Należy jednak zachować ostrożność, gdyż operacja ta może mieć istotny wpływ na wydajność infrastruktury. Ze względu na złożoność wykorzystania luki, przed przystąpieniem do dezaktywacji Hyper-Threading, radzimy zaczekać na zalecenia producenta systemu operacyjnego lub hiperwizora.

 

Zalecenia ogólne

Jak zwykle zachęcamy naszych klientów do aktualizacji systemów, dzięki czemu zagwarantują sobie maksymalną skuteczność podejmowanych kroków bezpieczeństwa.

Jako międzynarodowy dostawca usług chmurowych ściśle współpracujemy z naszymi partnerami i producentami oprogramowania, aby każdego dnia zwiększać bezpieczeństwo naszej infrastruktury. Kiedy odkrywane są nowe podatności, wdrażamy łatki i poprawki wraz innymi wewnętrznymi środkami bezpieczeństwa. Dotyczy to również podatności L1 Terminal Fault (L1TF) / Foreshadow. Dlatego zgodnie z obowiązującą w OVH zasadą transparencji, chcieliśmy przekazać naszym klientom niezbędne informacje i wzmożyć ich czujność.

 

Dowiedz się więcej:

http://travaux.ovh.net/?do=details&id=33475

https://foreshadowattack.eu/

https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault

 

Informacje na stronach producentów oprogramowania: