L1 Terminal Fault – L1TF Execution Vulnerabilities

14 Ağustos Salı günü intel “L1 Terminal Fault” olarak adlandırlan yeni CPU speculative-execution güvenlik açığını duyurdu.Bu yeni güvenlik açığı intel işlemcilerin izin verilmeyen bir veri erişimine olanak tanıyor.Bu vakalardaki spekülasyonlar devam ederek, etkilenen intel işlemcilerde saldırı için yeni bir side-channel ortaya çıkıyor. Yani L1 Cache ‘de yer alan bir bilginin okunabilmesine, bu bilginin okunduktan sonra herhangi VM ‘e erişip sonrasında tüm tüm VM’lerinize erişmesi söz konusu olabilir.

Üç güvenlik açığı şöyle adlandırılıyor:

  • CVE-2018-3646 (L1 Terminal Fault – VMM)
  • CVE-2018-3620 (L1 Terminal Fault – OS)
  • CVE-2018-3615 (L1 Terminal Fault – SGX, SMM) : VMware products does not affect with this

 

Üç güvenlik açığından en kötü olanı (CVE-2018-3646: L1 Terminal Fault – VMM), VMware vSphere, VMware Workstation ve VMware Fusion dahil olmak üzere x86 Intel CPU’lar üzerinde çalışan tüm hypervisorleri etkilemektedir. Sonuç olarak, bu ürünleri kullanan hizmetlerimiz (AWS ve VMware Horizon Cloud üzerinde VMware Cloud dahil) ve VMware Cloud Sağlayıcı Programı iş ortağı ortamlarımız etkilenir.VMware’in en önemli önceliği, verilerinizin ve sistemlerin güvenliğini korumak ve sağlamaktır. VMware, sorunu değerlendirmek ve ortaklarımızla birlikte en etkili güncelleme ve / veya yamayı belirlemek için Intel ve diğerleri gibi endüstri ortaklarıyla yakın bir şekilde çalışmaktadır. Bu konu için merkezi bilgi kaynağı olarak bir bilgi tabanı (KB) makalesi https://kb.vmware.com/kb/55636 oluşturulmuştur.

Bu Güvenlik Açıklarının Azaltılması, iki kategoriye ayrılır:

  • Hypervisor -Specific Mitigations
  • Operating System Mitigations

Bu KB, L1 Terminal Fault güvenlik açıkları tarafından tanımlanan saldırı vektörlerinin her biri için ayrıntılı azaltma işlemleriyle ek KB’lere bağlantılar sağlar. Vmware, yeni ve güncellenmiş Güvenlik önerilerini almak için Security Announce Mailing List ‘ine kaydolmanızı önerir.VMSA-2018-0020’de belirtilen yamaları aşağıdaki tabloda gösterildiği gibi uyguladığınızdan emin olun.

Hypervisor Specific Mitigation Steps

CVE-2018-3646 burada“Sequential-Context” ve “Concurrent-Context.” olarak adlandırılan hypervizorler için 2 saldırı vektörü bulunmaktadır

CVE-2018-3646 açığı önlemek için Sequential-Context and ve Concurrent-Context ele alınmalıdır.

Sequential-context attack vector : Kötü niyetli bir  VM  L1 ‘de önceden veya anlık olarak erişilmiş olan veriyi okuma yetkisine sahiptir.

Concurrent-context attack vector: Kötü amaçlı bir VM, son zamanlarda Hyperthreading etkinleştirilmiş işlemci çekirdeğinin diğer mantıksal işlemcisi üzerinde eşzamanlı olarak yürütme yapabildiği için erişilen L1 verilerine erişebilir.

 

Etkilenen CPU listesi

Intel Code NameFMSIntel Brand Names
Nehalem-EP0x106a5Intel Xeon 35xx Series;
Intel Xeon 55xx Series
Lynnfield0x106e5Intel Xeon 34xx Lynnfield Series
Clarkdale0x20652Intel i3/i5 Clarkdale Series;
Intel Xeon 34xx Clarkdale Series
Arrandale0x20655Intel Core i7-620LE Processor
Sandy Bridge DT0x206a7Intel Xeon E3-1100 Series;
Intel Xeon E3-1200 Series;
Intel i7-2655-LE Series;  Intel i3-2100 Series
Westmere EP0x206c2Intel Xeon 56xx Series;
Intel Xeon 36xx Series
Sandy Bridge EP0x206d7Intel Pentium 1400 Series;
Intel Xeon E5-1400 Series;
Intel Xeon E5-1600 Series;
Intel Xeon E5-2400 Series;
Intel Xeon E5-2600 Series;
Intel Xeon E5-4600 Series
Nehalem EX0x206e6Intel Xeon 65xx Series;
Intel Xeon 75xx Series
Westmere EX0x206f2Intel Xeon E7-8800 Series;
Intel Xeon E7-4800 Series;
Intel Xeon E7-2800 Series
Ivy Bridge DT0x306a9Intel i3-3200 Series; Intel i7-3500-LE/UE, Intel i7-3600-QE,
Intel Xeon E3-1200-v2 Series;
Intel Xeon E3-1100-C-v2 Series;
Intel Pentium B925C
Haswell DT0x306c3Intel Xeon E3-1200-v3 Series
Ivy Bridge EP0x306e4Intel Xeon E5-4600-v2 Series;
Intel Xeon E5-2400-v2 Series;
Intel Xeon E5-2600-v2 Series;
Intel Xeon E5-1400-v2 Series;
Intel Xeon E5-2600-v2 Series
Ivy Bridge EX0x306e7Intel Xeon E7-8800/4800/2800-v2 Series
Haswell EP0x306f2Intel Xeon E5-2400-v3 Series;
Intel Xeon E5-1400-v3 Series;
Intel Xeon E5-1600-v3 Series;
Intel Xeon E5-2600-v3 Series;
Intel Xeon E5-4600-v3 Series
Haswell EX0x306f4Intel Xeon E7-8800/4800-v3 Series
Broadwell H0x40671Intel Core i7-5700EQ;
Intel Xeon E3-1200-v4 Series
Avoton0x406d8Intel Atom C2300 Series;
Intel Atom C2500 Series;
Intel Atom C2700 Series
Broadwell EP/EX0x406f1Intel Xeon E7-8800/4800-v4 Series;
Intel Xeon E5-4600-v4 Series;
Intel Xeon E5-2600-v4 Series;
Intel Xeon E5-1600-v4 Series
Skylake SP0x50654Intel Xeon Platinum 8100 (Skylake-SP) Series;
Intel Xeon Gold 6100/5100 (Skylake-SP) Series
Intel Xeon Silver 4100, Bronze 3100 (Skylake-SP) Series
Broadwell DE0x50662Intel Xeon D-1500 Series
Broadwell DE0x50663Intel Xeon D-1500 Series
Broadwell DE0x50664Intel Xeon D-1500 Series
Broadwell NS0x50665Intel Xeon D-1500 Series
Skylake H/S0x506e3Intel Xeon E3-1500-v5 Series;
Intel Xeon E3-1200-v5 Series
Kaby Lake H/S/X0x906e9Intel Xeon E3-1200-v6

 

Sequential-Context Attack Vector Mitigation

VCenter sunucu ve ESXi hostlarımızı belirtilen sürümlere yükseltilmesi, bu güvenlik sorununu düzeltir. ve önemli bir performans kaybına yol açmaz.

Vcenter için önerilen versiyonlar :  Güncel sürümlerin kontrolü için KB

  • vCenter 6.7.0d
  • vCenter 6.5u2c
  • vCenter 6.0u3h
  • vCenter 5.5u3j

ESXi için önerilen versiyonlar.

  • ESXi 6.7
    • ESXi670-201808401-BG (esx-base)
    • ESXi670-201808402-BG (microcode)
    • ESXi670-201808403-BG (esx-ui)
  • ESXi 6.5 
    • ESXi650-201808401-BG (esx-base)
    • ESXi650-201808402-BG (microcode)
    • ESXi650-201808403-BG (esx-ui)
  • ESXi 6.0 
    • ESXi600-201808401-BG (esx-base)
    • ESXi600-201808402-BG (microcode)
    • ESXi600-201808403-BG (esx-ui)
  • ESXi 5.5
    • ESXi550-201808401-BG (esx-base)
    • ESXi550-201808402-BG (microcode)
    • ESXi550-201808403-BG (esx-ui)

Concurrent-context Attack Vector Mitigation

Bu güncelleme ile , “ESXi Side-Channel-Aware Scheduler” olarak adlandırılan yeni bir özellik etkinleştirmesi gerektirecektir ve bu özelliğin önemli bir performans etkisi yaratacağını ve varsayılan olarak etkin olmadığını unutmayın.

Güncelleme sonrası aşağıdaki potansiyel problemler VMware tarafından yayınlanmıştır.

  • VMs configured with vCPUs greater than the physical cores available on the ESXi host
  • VMs configured with custom affinity or NUMA settings
  • VMs with latency-sensitive configuration
  • ESXi hosts with Average CPU Usage greater than 70%
  • Hosts with custom CPU resource management options enabled
  • HA Clusters where a rolling upgrade will increase Average CPU Usage above 100%

 

Paylaş

YORUM YAZIN


UA-15660912-1