Kilka dużych firm opublikowało poradniki bezpieczeństwa w odpowiedzi na niedawno ujawnioną lukę w zabezpieczeniach procesora Intel. Podatność została nazwana Downfall. Informacje od producentów zebrał Eduard Kovacs z SecurityWeek.
Odkryty przez badaczy Google i oficjalnie sklasyfikowany jako CVE-2022-40982 Downfall to metoda ataku typu side-channel, która umożliwia lokalnemu atakującemu – lub fragmentowi złośliwego oprogramowania – uzyskanie poufnych informacji, takich jak hasła i klucze szyfrujące z docelowego urządzenia. O innych atakach na procesory pisaliśmy tutaj.
Podatność wpływa również na środowiska chmurowe. Możliwe jest przeprowadzanie zdalnych ataków za pośrednictwem przeglądarki internetowej, ale potrzeba więcej badań, aby zademonstrować taki atak.
Dotyczy to procesorów Intel Core i Xeon wprowadzonych na rynek w ciągu ostatniej dekady. Producent chipów oczywiście zareagował – wydaje aktualizacje oprogramowania układowego, a także opisuje środki zaradcze w odpowiedzi na odkrytą lukę.
Odkryta podatność wpływa na funkcje optymalizacji pamięci w procesorach Intela, a atak wykorzystuje dwie techniki nazwane Gather Data Sampling (GDS) i Gather Value Injection (GVI).
Metoda GDS została opisana jako „wysoce praktyczna”, a badacze Google stworzyli exploit typu proof-of-concept (PoC), który może ukraść klucze szyfrujące z OpenSSL.
Od 8 sierpnia, dnia, w którym ujawniono lukę, kilka organizacji opublikowało porady w odpowiedzi na odkrycie Downfalla.
OpenSSL
Projekt OpenSSL opublikował w tym tygodniu post na blogu, wskazując, że chociaż atak Downfall został zademonstrowany przeciwko OpenSSL, jest to „wysoce ogólny mikroarchitektoniczny atak typu side-channel, który może zagrozić bezpieczeństwu praktycznie każdego oprogramowania”.
„Ponieważ OpenSSL zapewnia przyspieszone implementacje wielu rozwiązań kryptograficznych przy użyciu instrukcji x86 SIMD, jeśli atakujący wykona atak z wykorzystaniem tej luki na proces wykonujący operacje kryptograficzne przy użyciu OpenSSL, istnieje podwyższone ryzyko, że informacje, które będzie w stanie wyodrębnić, będą zawierać klucz kryptograficzny, materiał lub tekst jawny, ponieważ materiał ten prawdopodobnie został niedawno przetworzony w procesie ofiary przy użyciu instrukcji SIMD. Innymi słowy, ryzyko związane z kluczowymi materiałami lub innymi materiałami kryptograficznymi jest szczególnie wysokie” – wyjaśnił OpenSSL Project.
AWS, Microsoft Azure, Google Cloud
AWS powiedział, że Downfall nie ma wpływu na dane jego klientów i instancje w chmurze i nie jest wymagane żadne działanie. Gigant chmurowy zauważył, że „zaprojektował i wdrożył swoją infrastrukturę z zabezpieczeniami przed tego typu problemami”.
Microsoft poinformował, że wdrożył aktualizacje swojej infrastruktury Azure, aby załatać lukę. W większości przypadków – z wyjątkiem klientów, którzy zrezygnowali z automatycznych aktualizacji – użytkownicy nie muszą podejmować żadnych działań.
Google Cloud podało również, że nie jest wymagane żadne działanie klienta. Firma zastosowała dostępne łatki na swojej flocie serwerów. Niektóre produkty wymagają jednak dodatkowych aktualizacji od partnerów lub dostawców.
Cisco
Cisco stwierdziło, że jego serwery kasetowe UCS B-Series M6 i serwery stelażowe UCS C-Series M6 wykorzystują procesory Intela, które są podatne na ataki Downfall.
Citrix
Citrix opublikował poradnik informujący klientów, że CVE-2022-40982 wpływa na Citrix Hypervisor tylko wtedy, gdy działa na wrażliwych procesorach Intel.
Dell
Firma Dell wydała poprawki systemu BIOS dla komputerów Alienware, ChengMing, serii G, Precision, Inspiron, Latitude, OptiPlex, Vostro i XPS.
HP
Firma HP rozpoczęła wydawanie pakietów SoftPaq, które rozwiązują problem awarii dla komputerów biznesowych i konsumenckich, stacji roboczych i detalicznych systemów PoS.
Lenovo
Lenovo rozpoczęło wydawanie aktualizacji systemu BIOS, które eliminują luki w zabezpieczeniach jej komputerów stacjonarnych (w tym urządzeń typu all in one), notebooków, laptopów, serwerów i innych urządzeń.
NetApp
NetApp zakomunikował, że wiele jego produktów zawiera chipy Intela i obecnie trwają prace nad określeniem, które z nich są zagrożone. Do tej pory potwierdzono, że dotyczy to niektórych systemów pamięci masowej AFF i FAS, ale kilka produktów jest nadal analizowanych.
OVH
Gigant chmurowy OVH potwierdził, że Downfall wpływa na produkty OVHcloud. Firma podsumowała podjęte kroki i działania, które administratorzy muszą podjąć w odpowiedzi na lukę.
SuperMicro
SuperMicro wydało biuletyn dotyczący bezpieczeństwa, aby poinformować użytkowników o najnowszych poprawkach oprogramowania układowego Intela, w tym dla Downfall, i poinformowało, że opracowało aktualizację systemu BIOS w odpowiedzi na luki w zabezpieczeniach.
Vmware
Firma VMware poinformowała klientów, że luka CVE-2022-40982 może dotykać hiperwizorów, jeśli korzystają z procesorów Intel, których dotyczy ta luka, ale łatki dla hiperwizorów nie są potrzebne, aby ją usunąć. Zamiast tego klienci, których dotyka problem, muszą uzyskać aktualizacje oprogramowania układowego od swoich dostawców sprzętu.
Xen
Xen powiedział, że dotyczy to wszystkich wersji jego hiperwizora, jeśli działa na urządzeniach z wrażliwymi procesorami Intela. Oprócz zalecania aktualizacji oprogramowania układowego od dostawców sprzętu, organizacja zapewniła środki zaradcze, ale ostrzegała, że mogą one znacząco wpłynąć na wydajność.
Dystrybucje Linuksa
Kilka dystrybucji Linuksa wydało porady, poprawki i środki zaradcze dla systemów korzystających z procesorów Intel. Lista obejmuje SUSE, CloudLinux, RedHat, Ubuntu i Debian.