Intelファームウェアおよびプロセッサ「カーネルメモリリーク」の脆弱性

投稿日: 4 年 2018 月 XNUMX 日

概要

Intelは最近、一部のプロセッサとファームウェアの実装と設計に影響を与える一連の脆弱性を発表しました。これらの脅威はデバイスからサーバープラットフォームに影響を及ぼします。

次のセクションでは、これらの脆弱性がデータセンターのネットワークデバイスとサーバーベースのインフラストラクチャにどのように影響するかについて説明します。

Intelファームウェアの脆弱性

これらの脆弱性のリスクに対処するために、Intelはシステム管理者およびセキュリティ管理者がいくつかのリソースを提供することによってこれらの脅威に対処することを支援する勧告を発表しました。

Intel-SA-00086セキュリティレビュー
Intel-SA-00086サポート記事
Intel-SA-00086検出ツール

することをお勧めします 上記の観察を読むファームウェアアップデートを適用する これらの弱点を利用する可能性がある将来の攻撃に備えて安全なインフラストラクチャを維持するために、さまざまなベンダーが提供していること。

これらの脆弱性がデータセンターのネットワークインフラストラクチャにどのように影響するかに関して、以下の前提を要約することができます。

1. これらの脆弱性は、Intelプロセッサの大部分に影響を及ぼし、それらのいずれかによって影響を受ける可能性があります。
2. これらの脆弱性は特権昇格の脅威に基づいているため、任意のコードを実行するためにはオペレーティングシステムへのローカルアクセスが必要です。 あるいは少なくとも、管理者としてのリモートアクセスはこれらの脆弱性を利用する必要があります。
3. ベンダーが提供するファームウェアアップデートを適用し、インテルマネジメントエンジン(インテルME)、インテルトラステッドエグゼキューションエンジン(インテルTXE)、インテルサーバープラットフォームサービス(SPS)、インテルATMのサービスが可能かどうかを無効にする必要があります。
4. 管理ネットワークを分離してオペレーティングシステムへのローカルおよびリモートアクセスを強化し、ユーザーまたはプロセスによるオペレーティングシステムへのアクセス権限を回避します。
5. 仮想プラットフォームまたはハードウェアプラットフォーム、オンプレミスまたはクラウド環境、さらにはマイクロサービスにも影響します。 すべてのレイヤーは、この脅威の保護に注意を払う必要があります。

カーネルメモリリークの脆弱性またはIntel CPUのバグ

Intel CPUは、マイクロコードのアップデートでは修正できないが、OSレベルでは修正できない、チップレベルの重大なセキュリティバグの影響を受けており、それらすべてに影響を与えます(Windows、Linux、およびmacOS)。

また, カーネルメモリリークの脆弱性 オペレーティングシステムで指定されている仮想メモリの境界を超えて、すべてのユーザ空間プログラム(データベース、JavaScript、Webブラウザなど)が保護されたカーネルメモリ内の特定のコンテンツに不正にアクセスできるという問題に直面します。 OSレベルでの修正は、 カーネルページテーブル分離(KPTI) カーネルメモリがユーザプロセスから見えないようにするため。

ただし、これは完全な世界ではないため、このパッチによって適用されるセキュリティの強化により、ユーザープログラムに約30%の大きなパフォーマンスペナルティが発生します。 また、速度低下は、ワークロードと、カーネルとユーザースペースプログラム間のI / O集約型の使用に大きく依存します。 データセンター内のネットワーク機能の特定のケースでは、SSLオフロード、コンテンツスイッチングなどの集中的なレイヤー7機能がありますが、タスクが明確であり、あまり多くのデータ処理を処理しないため、それほど重要ではありません。

この脆弱性は、主にプログラムまたはログインしたユーザーがカーネルのメモリのデータコンテンツを読み取るために悪用される可能性があります。 そのため、仮想化、マイクロサービス、クラウドシステムなどのリソース共有環境は、影響を受けて悪用される可能性が高くなります。

OSレベルでの確実なパッチが提供されるまでは、前のセクションで設定した防止ポイントで十分です。

AMDは、同社のプロセッサがこの脆弱性の影響を受けていないため、ペナルティパフォーマンスの影響を受けていないことを確認しています。

メルトダウンとスペクター攻撃

メルトダウンおよびスペクター攻撃は、CPUキャッシュをサイドチャネルとして使用して実行されたCPU命令から情報を抽出する機能を利用する、いくつかのCPUハードウェア実装に見られるサイドチャネル脆弱性と呼ばれています。 現在、これらの攻撃にはいくつかの変種があります。

バリアント1(CVE-2017-5753) 分光):境界チェックバイパス
バリアント2(CVE-2017-5715、また 分光):分岐ターゲット注入
バリアント3(CVE-2017-5754) メルトダウン):不正なデータキャッシュのロード、カーネルメモリの読み込み後に実行されるメモリアクセス許可の確認

これらの攻撃に関する技術的な説明は http://www.kb.cert.org/vuls/id/584653.

Zevenetロードバランサーにおけるメルトダウンとスペクターの影響

Zevenet Load Balancerにおけるこれらの脆弱性の危険性は低いです。 攻撃者はオペレーティングシステムにローカルアクセスでき、悪意のあるコードを利用するためにユーザー権限で悪意のあるコードを実行できる必要があるためです。 Zevenet Enteprise Editionは、ローカルの非管理ユーザーがサードパーティのコードを実行することを許可しないネットワーク固有のアプライアンスであるため、これが発生する可能性は低く、適切な管理方法で防止できます。

さらに、Load Balancers管理ネットワークは通常プライベートであり、デフォルトでは管理ユーザー以外の追加ユーザーはいないため、リスクは低くなります。 一方、公共の仮想環境、コンテナプラットフォーム、クラウド環境などのマルチテナントシステムは、最大のリスクに直面する可能性があります。

攻撃を防ぐために、上記のセキュリティ上の推奨事項に従ってください。

現在、オペレーティングシステムレベルでこれらの脆弱性を完全に軽減するためのパッチがいくつかありますが、それらはパフォーマンスにいくつかの副作用をもたらします。 弊社のセキュリティチームは、アプリケーション配信サービスへの影響を最小限に抑えながら、できるだけ早くこのセキュリティの脅威を軽減するための最終的なパッチを提供するよう努めています。

さらなるコミュニケーションは以下によって提供されるでしょう。 公式サポートチャンネル.

上の共有:

GNU Free Documentation Licenseの条項に基づくドキュメンテーション。

この記事は役に立ちましたか?

いいえ

関連記事