Foreshadow
Foreshadow

Foreshadow

General

Eerder dit jaar zijn er een aantal kwetsbaarheden in processoren bekend geworden onder de naam Meltdown en Spectre. Deze kwetsbaarheden waren het gevolg van de "speculative execution" functionaliteit die door veel moderne processoren wordt gebruikt om de prestaties te optimaliseren. Het technische team van CloudVPS heeft hard gewerkt om onze klanten, systemen en producten tegen deze aanvallen te beschermen.

Afgelopen dinsdag heeft Intel details gepubliceerd over een drietal nieuwe kwetsbaarheden die aanwezig zijn in bepaalde Intel-processoren. Deze kwetsbaarheden zijn gepubliceerd onder de naam "L1 Terminal Fault" (L1TF) en zijn wederom gerelateerd aan de "speculative execution" functionaliteit. De drie kwetsbaarheden kunnen worden geïdentificeerd als CVE-2018-3615 (voor SGX), CVE-2018-3620 (voor besturingssystemen en SMM) en CVE-2018-3646 (voor virtualisatie).

Succesvolle exploitatie van deze kwetsbaarheden maakt het voor een aanvaller mogelijk om data te lezen dat zich in het Level 1 cache-geheugen van een processor bevindt. Exploitatie vereist toegang tot fysieke of virtuele processorkernen die alleen beschikbaar zijn via het besturingssysteem van een systeem of virtuele machine.

In deze blogpost treft u informatie omtrent acties die u zelf kunt ondernemen en de acties die CloudVPS reeds heeft ondernomen om de risico's van de kwetsbaarheden te reduceren of te mitigeren.

Kwetsbaarheden

Ten grondslag aan deze kwetsbaarheden liggen bugs in de fysieke hardware die het mogelijk maken om data te lezen dat zich in bepaalde geheugensectoren van de computer bevindt. In tegenstelling tot de Meltdown en Spectre kwetsbaarheden richt deze aanval zich echter tegen het Level 1 cache-geheugen op een processor in plaats de besturingsstroom (control flow) van een programma.

Deze aanvallen kunnen mogelijk worden gebruikt om informatie te lezen die zich in de Level 1 cache bevindt, inclusief informatie behorende bij de System Management Mode (SMM), de kernel van het besturingssysteem of de hypervisor. De kwetsbaarheid kan ook worden gebruikt om informatie te lezen die is opgeslagen in andere virtuele machines die op dezelfde fysieke resources actief zijn, hetgeen een risico vormt voor de cloudinfrastructuur.

Oplossing

Mitigatie van de kwetsbaarheden kan plaatsvinden door software-updates. Om de drie kwetsbaarheden te kunnen mitigeren, is het noodzakelijk dat zowel het besturingssysteem als ook de hypervisor en de microcode van de fysieke server worden voorzien van updates.

Microcode-updates vereisen mogelijk een herstart van de fysieke hardware, waardoor het mogelijk is dat uw VPS zal worden gemigreerd naar een nieuwe fysieke host om zo de beschikbaarheid te borgen. U wordt hier, indien dit van toepassing is, middels een individueel bericht over genotificeerd. Aangezien ons nieuwe OpenStack-platform volledig high available is uitgevoerd, zult u, mits u hierop actief bent, geen overlast ondervinden.

Naast het updaten van de platformen is het ook noodzakelijk dat besturingssystemen van de VPS('en) worden geüpdatet. De kwetsbaarheden kunnen namelijk lokaal worden ingezet door een aanvaller om data van andere virtuele systemen uit te lezen als deze gebruikmaken van dezelfde Level 1 cache. Wij raden u daarom, conform onze best practices, aan om uw systeem up-to-update te houden en deze te voorzien van de meest recente updates. Houdt er echter rekening mee dat het doorvoeren van updates opstartproblemen veroorzaakt als u gebruik maakt van CentOS 6 op ons Xen-platform. 

Nog niet voor alle platformen zijn door onze leveranciers en partners echter al updates beschikbaar gesteld. Wij werken daarom te allen tijde nauw samen met onze leveranciers om mitigerende maatregelen voor de kwetsbaarheden zo snel mogelijk te verkrijgen, te testen en uit te rollen om zo de risico's te mitigeren. Via deze blog voorzien we u van de laatste statusupdates omtrent de  beschikbare updates in relatie tot deze kwetsbaarheden. We komen op korte termijn met een update over de concrete vervolgstappen en mitigerende maatregelen.

Heeft u na aanleiding van deze berichtgeving nog vragen en/ of opmerkingen? Dan kunt u een e-mail sturen naar support@cloudvps.com. Uw vraag wordt zo spoedig mogelijk beantwoord.