Una panoramica sul mondo della Sicurezza Informatica, del Networking, della Virtualizzazione e non solo. Blog particolarmente indicato per i reparti IT che comunque alterna articoli scritti per specialisti con articoli formulati con linguaggio semplice e comprensibile a tutti.

Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.

martedì 26 febbraio 2019

VMware KB55636 e vulnerabilità CVE2018-3646: cosa fare?

In merito al recente problema della CVE in oggetto (https://nvd.nist.gov/vuln/detail/CVE-2018-3646 meglio nota come l'evoluzione di Spectre e Meltdown, ma applicato alla cache L1 della CPU), vmware ha rilasciato due Knowledge Base:



Appena aggiorniamo un host alla 6.7, ci compare il warn.
Riassumo brevemente di cosa si tratta.

Rischi
La vulnerabilità scoperta riguarda le CPU Intel (tutte) ed intacca l'integrità delle macchine. In casi particolari è possibile eseguire codice arbitrario in grado di far leggere da una VM la cache L1 della CPU di un'altra VM. Va detto che non è proprio così semplice che questo avvenga e che si tratta di un accesso importante ma meno facile di quanto possa accadere con altri attacchi più semplici. Inoltre l'attaccante deve avere una vm con accessi root/administrator e poter eseguire liberamente codice (che, per inciso, ad oggi non è stato ancora scritto, si tratta di una vulnerabilità teorica, anche se per poco).

Soluzione
Applicare la patch non è indolore, le performance della CPU diminuiscono, i core si dimezzano (sostanzialmente viene disabilitato l'HT) e questo su sistemi con alto carico di elaborazione può comportare deglli abbassamenti di performance considerevoli.

Vmware dice in sostanza (nello schema sotto riportato):
- Te lo puoi permettere? Se no, tutte le tue vm sono più o meno sicure (ovvero, non sei un provider che vende macchine virtuali a sconosciuti)? Allora accetti a tuo rischio di tenerti la vulnerabilità. Altrimenti procedi con la patch (anche a costo di comprare nuove risorse hardware).




La scelta ricade sull'IT che deve valutare se tenersi la vulnerabilità avendo però maggiori performance, oppure applicare la patch e intaccare la velocità delle CPU.

In questo caso però il tool HTAwareMitigationAnalysis di vmware ci viene in soccorso estrapolando un report indicandoci se il nostro cluster potrebbe entrare in sofferenza.


Buon divertimento!




Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.