الثغرات الأمنية التي تتسبب في تسريب البرامج الثابتة من Intel والمعالج "ذاكرة Kernel"

منشور من طرف Zevenet | 4 يناير 2018

نظرة عامة

قامت إنتل مؤخراً بنشر سلسلة من نقاط الضعف التي تؤثر على تنفيذ وتصميم بعض معالجاتها وبرامجها الثابتة ، الأمر الذي يؤثر على التهديد من الأجهزة إلى منصات الخوادم.

في الأقسام التالية ، تم وصف كيفية تأثير هذه الثغرات الأمنية على أجهزة الشبكات والبنية التحتية القائمة على الخادم في مركز البيانات.

نقاط ضعف البرامج الثابتة من Intel

من أجل معالجة مخاطر نقاط الضعف هذه ، قامت إنتل بنشر توصيات لمساعدة مسؤولي النظام والأمن على مواجهة هذه التهديدات من خلال توفير بعض الموارد:

إنتل SA-00086 مراجعة الأمن
إنتل SA-00086 دعم المادة
أداة كشف Intel-SA-00086

فمن المستحسن أن قراءة الملاحظات أعلاه و تطبيق تحديثات البرامج الثابتة التي قدمها الباعة المختلفون للحفاظ على بنية تحتية آمنة في حالة الهجمات المستقبلية التي قد تستفيد من نقاط الضعف هذه.

فيما يتعلق بكيفية تأثير هذه الثغرات على البنية التحتية للشبكات في مركز البيانات ، يمكننا تلخيص المباني التالية:

1. تؤثر نقاط الضعف هذه على الغالبية العظمى من معالجات Intel ومن المحتمل أن تتأثر بأي منها.
2. تستند هذه الثغرات الأمنية إلى تهديد زيادة التصعيد ، وبالتالي ، فإنها تتطلب الوصول المحلي إلى نظام التشغيل حتى تتمكن من تنفيذ تعليمات برمجية عشوائية. أو على الأقل ، يلزم الوصول عن بعد كمسؤول للاستفادة من نقاط الضعف هذه.
3. سيُطلب منك تطبيق تحديثات البرامج الثابتة التي يوفرها البائعون وتعطيل ما إذا كان من الممكن الخدمات: Intel Management Engine (Intel ME) ، Intel Trusted Execution Engine (Intel TXE) ، Intel Server Platform Services (SPS) و Intel ATM.
4. قم بتوصيل الوصول المحلي والبعيد إلى نظام التشغيل عن طريق عزل شبكة الإدارة وتجنب المستخدم أو معالجة امتيازات الوصول إلى نظام التشغيل.
5. إنه يتأثر بالمنصات الافتراضية أو الأجهزة أو البيئات المحلية أو السحابية أو حتى الخدمات الصغيرة. يجب أن تهتم كل طبقة بحماية هذا التهديد.

Kernel Memory Leaking vulnerability أو Intel CPU bug

لقد تأثرت وحدات المعالجة المركزية (إنتل) من خلال حشرة أمنية ذات مستوى حرج لا يمكن إصلاحها عن طريق تحديث الرمز الصغير ، ولكن على مستوى نظام التشغيل وتؤثر على كل منها (Windows و Linux و macOS.

يوفر Kernel Memory Leaking Leaking مواجهة المشكلة حيث يمكن لكل برنامج فضاء مستخدم (قواعد بيانات ، javascript ، متصفحات الويب ، إلخ) الوصول بشكل غير قانوني إلى محتويات معينة في ذاكرة kernel المحمية ، عن طريق تجاوز حدود الذاكرة الظاهرية المحددة في نظام التشغيل. الإصلاح على مستوى نظام التشغيل يأتي مع تنفيذ عزل جدول الصفحة في Kernel (KPTI) لضمان أن ذاكرة kernel غير مرئية لعمليات المستخدم.

ولكن نظرًا لأن هذا ليس عالماً مثالياً ، فإن الأمان المعزز المطبق بواسطة هذا التصحيح يقدم عقوبة أداء كبيرة لبرامج المستخدم تبلغ حوالي 30٪. أيضًا ، سيعتمد التباطؤ بشكل كبير على عبء العمل والاستخدام المكثف للإدخال / الإخراج بين برامج مساحة kernel والمستخدم. بالنسبة للحالات المحددة لوظائف الشبكات داخل مركز البيانات ، فهي ليست بالغة الأهمية لأن مهامها واضحة ولا تتعامل مع الكثير من معالجة البيانات على الرغم من وظائف الطبقة 7 المكثفة مثل إلغاء تحميل SSL وتبديل المحتوى وما إلى ذلك.

يمكن إساءة استخدام هذه الثغرة الأمنية بشكل أساسي بواسطة البرامج أو المستخدمين المسجلين لقراءة محتوى البيانات في ذاكرة kernel. لهذا السبب ، من المرجح أن تتأثر بيئات الموارد المشتركة مثل المحاكاة الافتراضية أو الخدمات الصغيرة أو أنظمة السحابة وإساءة استخدامها.

حتى يتم توفير تصحيح نهائي على مستوى نظام التشغيل ، ستكون نقاط الوقاية التي حددناها في القسم السابق كافية في الوقت الحالي.

أكدت AMD أن معالجاتها لا تتأثر بالضعف وبالتالي ، من خلال أداء العقوبة.

الانهيار والهجمات الشبح

تتم الإشارة إلى هجمات Meltdown و Specter على الثغرات في القنوات الجانبية الموجودة في العديد من تطبيقات أجهزة CPU ، والتي تستفيد من القدرة على استخراج المعلومات من تعليمات وحدة المعالجة المركزية التي تم تنفيذها باستخدام ذاكرة التخزين المؤقت لوحدة المعالجة المركزية كقناة جانبية. حاليًا ، هناك عدة أنواع من هذه الهجمات:

Variant 1 (CVE-2017-5753، طيف): حدود التحقق من الالتفافية
Variant 2 (CVE-2017-5715، also طيف): حقن هدف الفرع
Variant 3 (CVE-2017-5754، الانهيار): تحميل ذاكرة التخزين المؤقت البيانات Rogue ، تحقق إذن الوصول إلى الذاكرة بعد قراءة ذاكرة kernel

مزيد من الشرح الفني لهذه الهجمات في http://www.kb.cert.org/vuls/id/584653.

تأثير الانهيار و Specter في Zevenet Load Balancers

خطر هذه الثغرات في Zevenet Load Balancer منخفض كمهاجم يجب أن يكون لديه وصول محلي إلى نظام التشغيل ويجب أن يكون قادرًا على تنفيذ تعليمات برمجية ضارة بامتيازات المستخدم من أجل الاستفادة منها. إصدار Zevenet Enteprise هو جهاز خاص بالشبكات لا يسمح لمستخدم محلي غير إداري بتنفيذ تعليمات برمجية لجهة خارجية ، لذلك من غير المحتمل أن يحدث هذا ويمكن منعه من خلال ممارسات الإدارة الجيدة.

بالإضافة إلى ذلك ، عادةً ما تكون شبكة إدارة موازن التحميل خاصة ولا يوجد أي مستخدم إضافي بشكل افتراضي أكثر من مستخدم إداري ، لذلك تكون المخاطرة منخفضة. من ناحية أخرى ، يمكن أن تواجه أنظمة متعددة المستأجرين مثل البيئات الافتراضية العامة ومنصات الحاويات والبيئات السحابية أكبر المخاطر.

لمنع هذا الهجوم ، يرجى اتباع توصيات الأمان التي ذكرناها أعلاه.

توجد حاليًا بعض التصحيحات على مستوى نظام التشغيل لتخفيف هذه الثغرات تمامًا ولكنها تنتج بعضًا من الآثار الجانبية للأداء. يعمل فريق الأمان لدينا على توفير تصحيح نهائي للتخفيف من هذا التهديد الأمني ​​في أقرب وقت ممكن مع الحد الأدنى من التأثير في خدمات تقديم الطلبات الخاصة بك.

وسيتم توفير اتصالات أخرى من قبل قنوات الدعم الرسمية.

مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

مقالات ذات صلة