Protege tus sistemas contra Meltdown y Spectre

Mantenemos este post actualizado con los parches de Microsoft, Netapp, Bitdefender, Fortinet y VMware

Visitas: 205

Recientemente se han dado a conocer varias vulnerabilidades que afectan directamente a procesadores de los fabricantes Intel, ARM y AMD.

A estas vulnerabilidades reciben el nombre de Meltdown y Spectre, afecta a procesadores con características de ejecución especulativa y múltiples niveles de caché de instrucciones.

Meltdown

Identificador CVE-2017-5754, Rogue Data Cache Load

Este ataque permite que un programa acceda a las posiciones de memoria y a los datos que pertenecen al núcleo (Kernel) del sistema operativo y/o a otros procesos concurrentes a los que no debería tener acceso saltándose el aislamiento entre el modo Kernel y el modo usuario sin necesidad de que los procesos tengan los privilegios necesarios para su acceso.

Spectre

Identificador CVE-2017-5715, Branch Target Injection y CVE-2017-5753, Bounds Check Bypass

Los procesadores con la función de ejecución especulativa realizan tareas de predicción de la próxima función que se va a ejecutar, de tal forma que para ello el procesador maneja información confidencial para adelantar la siguiente ejecución. Estas vulnerabilidades acceden al contenido de la memoria virtual donde se encuentra esa información que pertenece a otros programas y que el procesador maneja mientras predice la próxima función a ejecutar.

Fabricantes

Actualmente todos los fabricantes están volcados en la actualización de los sistemas para paliar esta situación.

Microsoft

El día 3 de enero lanzó parches de seguridad de varios sistemas operativos y se esperan nuevas actualizaciones.

Bitdefender

Garantiza evaluaciones de rendimiento y compatibilidad de sus productos empresariales GravityZone con los recientes parches de seguridad para GravityZone Endpoint Security (Windows, Mac y Linux), Bitdefender Endpoint Security, GravityZone Security para entorno virtualizado.

Fortinet

Informa que los siguientes productos (FortiOS, FortiAnalyzer, FortiSwitch, FortiAP, FortiManager, FortiMail y FortiWeb) están diseñados para no permitir la ejecución de código arbitrario en el área de usuario en condiciones normales.

Fortinet ha verificado las últimas versiones de FortiClient (5.4.4 y 5.6.3) y ha comprobado que son totalmente compatibles con la actualización de seguridad de Microsoft.

El equipo FortiGuard ha publicado la actualización IPS 12.295, que incluye una firma para estos ataques.

Fortinet Advisory on New Spectre and Meltdown Vulnerabilities

VMware

Para que los parches que emiten los proveedores de sistemas operativos sean completamente funcionales en un sistema operativo guest, se necesitarán actualizaciones adicionales de ESXi y vCenter Server.

Las actualizaciones de VMware ESXi, Workstation y Fusion abordan el análisis de canales laterales debido a la ejecución especulativa (CVE-2017-5715 y CVE-2017-5753). Como vemos en el enlace publicado por VMware.

El tiempo de caché de los datos de la CPU puede ser utilizado de forma abusiva para filtrar información de la ejecución especulativa de la CPU, lo que lleva a (en el peor de los casos) vulnerabilidades de lectura de memoria virtual arbitraria a través de los límites de seguridad locales en varios contextos. (La ejecución especulativa es una optimización automática e inherente del rendimiento de la CPU utilizada en todos los procesadores modernos). ESXi, Workstation y Fusion son vulnerables a los problemas de Bounds Check Bypass y Branch Target Injection que resultan de esta vulnerabilidad.

El resultado de la explotación puede permitir la divulgación de información de una máquina virtual a otra máquina virtual que se ejecuta en el mismo host. La corrección que se detalla en la tabla a continuación corresponde a las variantes conocidas de Bounds Check Bypass y Branch Target Injection.

VMSA-2018-0002 and VMSA-2018-0004

VMSA-2018-0002

Actualización

VMware ha lanzado parches adicionales para el exploit de ejecución especulativa (VMSA-2018-04). Las actualizaciones de vCenter Server, ESXi, Workstation y Fusion virtualizan el nuevo mecanismo de control de ejecución especulativa para máquinas virtuales (VM). Como resultado, un sistema operativo guest parcheado puede evitar Branch Target Injection (CVE-2017-5715). VMSA-2018-0004.1

Actualización 15/01/2018

Vulnerabilidades en servicio NAT VMware NAT (Fusion y Workstation) (VMSA-2018-05) y Vmware ha añadido  importantes actualizaciones en el microcódigo de los parches de ESXi (VMSA-2018-04.2)

Hasta el momento VMware ha lanzado los siguientes parches:

  • Address Hypervisor-Specific Remediation (VMSA-2018-02)
  • Hypervisor-Assisted Guest Remediation (VMSA-2018-04, VMSA-2018-04.1, VMSA-2018-04.2)
  • Use-after-free vulnerability in VMware NAT service (VMSA-2018-05)

Netapp

Netapp ha lanzado una web informativa sobre las recientes vulnerabilidades en la que proporciona la siguiente información:

ONTAP: A diferencia de un sistema operativo de propósito general, ONTAP no proporciona mecanismos para que usuarios no administrativos ejecuten código de terceros. Debido a este comportamiento, ONTAP no se ve afectado por los ataques de Spectre o Meltdown. Lo mismo se aplica a todas las variantes de ONTAP, incluidos ONTAP que se ejecuta en hardware FAS / AFF, así como productos ONTAP virtualizados como ONTAP Select y ONTAP Cloud.

Si bien ONTAP Select y ONTAP Cloud no se ven directamente afectados por estos ataques, estos ataques pueden ser posibles contra la plataforma de hipervisor utilizada. NetApp recomienda ponerse en contacto con proveedores de hipervisores y plataformas cloud para asegurarse de que su producto de NetApp se ejecute en una plataforma segura y reparada.

StorageGRID: StorageGRID y StorageGRID Webscale no proporcionan mecanismos para ejecutar código de terceros sin privilegios y no se ven afectados directamente.

SolidFire: A diferencia de un sistema operativo de propósito general, Element OS es un sistema cerrado que no proporciona mecanismos para ejecutar código de terceros. Debido a este comportamiento, Element OS que se ejecuta en SolidFire o en los nodos de almacenamiento HCI de NetApp no se ve afectado por los ataques de Spectre o Meltdown ya que dependen de la capacidad de ejecutar código malicioso directamente en el sistema de destino.

SANtricity: A diferencia de un sistema operativo de propósito general, SANtricity no proporciona mecanismos para ejecutar código de terceros. Debido a este comportamiento, SANtricity no se ve afectado por los ataques de Spectre o Meltdown.

Información oficial de Netapp: https://security.netapp.com/advisory/ntap-20180104-0001/

Más información y videos demostrativos sobre Meltdown y Spectre en la página oficial.

Autor

Imagen de Álvaro Artigues Reig

Ingeniero Preventa

CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.