Pengantar

Intel baru-baru ini menerbitkan serangkaian kerentanan yang memengaruhi implementasi dan desain beberapa prosesor dan firmware mereka, yang mengancam memengaruhi platform perangkat hingga server.

Di bagian berikut ini dijelaskan bagaimana kerentanan ini memengaruhi perangkat jaringan dan infrastruktur berbasis server di pusat data.

Kerentanan Firmware Intel

Untuk mengatasi risiko kerentanan ini, Intel telah menerbitkan rekomendasi untuk membantu administrator sistem dan keamanan untuk mengatasi ancaman ini dengan menyediakan beberapa sumber daya:

Ulasan Keamanan Intel-SA-00086
Artikel Dukungan Intel-SA-00086
Alat Deteksi Intel-SA-00086

Dianjurkan untuk baca pengamatan di atas dan terapkan pembaruan firmware bahwa vendor yang berbeda telah menyediakan untuk menjaga infrastruktur yang aman jika terjadi serangan di masa depan yang dapat mengambil keuntungan dari kelemahan ini.

Sehubungan dengan bagaimana kerentanan ini mempengaruhi infrastruktur jaringan di pusat data, kami dapat merangkum tempat-tempat berikut:

1. Kerentanan ini memengaruhi sebagian besar prosesor Intel dan kemungkinan besar akan terpengaruh oleh salah satu dari mereka.
2. Kerentanan ini didasarkan pada ancaman eskalasi hak istimewa, dan karenanya, mereka memerlukan akses lokal ke sistem operasi agar dapat menjalankan kode arbitrer. Atau setidaknya, akses jarak jauh sebagai administrator diperlukan untuk memanfaatkan kerentanan ini.
3. Ini akan diperlukan untuk menerapkan pembaruan firmware yang disediakan oleh vendor dan menonaktifkan apakah mungkin layanan: Intel Management Engine (Intel ME), Intel Trusted Execution Engine (Intel TXE), Intel Server Platform Services (SPS) dan Intel ATM.
4. Perketat akses lokal dan jarak jauh ke sistem operasi dengan mengisolasi jaringan manajemen dan menghindari pengguna atau memproses hak akses ke sistem operasi.
5. Ini dipengaruhi oleh platform virtual atau perangkat keras, lingkungan lokal atau cloud, atau bahkan layanan mikro. Setiap lapisan harus menjaga perlindungan dari ancaman ini.

Kerentanan Memori Bocor atau bug CPU Intel

Intel CPU telah dipengaruhi oleh bug keamanan tingkat chip yang kritis yang tidak dapat diperbaiki oleh pembaruan mikrokode, tetapi pada level OS dan memengaruhi semuanya (Windows, Linux, dan macOS.

Grafik Kerentanan Memori Kernel Bocor menghadapi masalah di mana setiap program ruang pengguna (database, javascript, browser web, dll.) dapat mengakses secara ilegal ke konten tertentu dalam memori kernel yang dilindungi, dengan melewati batas memori virtual yang ditentukan dalam sistem operasi. Perbaikan di tingkat OS dilengkapi dengan implementasi Isolasi Tabel Halaman Kernel (KPTI) untuk memastikan memori kernel tidak terlihat oleh proses pengguna.

Namun, karena ini bukan dunia yang sempurna, peningkatan keamanan yang diterapkan oleh tambalan ini menyebabkan penalti kinerja yang besar untuk program pengguna sekitar 30%. Selain itu, perlambatan akan sangat bergantung pada beban kerja dan penggunaan intensif I / O antara kernel dan program ruang pengguna. Untuk kasus spesifik fungsi jaringan dalam pusat data, ini tidak terlalu penting karena tugas mereka jelas dan tidak menangani terlalu banyak pemrosesan data meskipun fungsi lapisan 7 intensif seperti pembongkaran SSL, peralihan konten, dll.

Kerentanan ini dapat disalahgunakan terutama oleh program atau pengguna yang login untuk membaca konten data dari memori kernel. Karena alasan itu, lingkungan bersama sumber daya seperti virtualisasi, layanan mikro, atau sistem cloud lebih mungkin terpengaruh dan disalahgunakan.

Sampai patch definitif di tingkat OS disediakan, poin pencegahan yang telah kita atur di bagian sebelumnya, akan cukup untuk saat ini.

AMD telah mengkonfirmasi bahwa prosesor mereka tidak terpengaruh oleh kerentanan dan karenanya, oleh kinerja penalti.

Serangan Meltdown dan Specter

Serangan Meltdown dan Specter disebut kerentanan sisi-saluran yang ditemukan dalam beberapa implementasi perangkat keras CPU, yang memanfaatkan kemampuan untuk mengekstraksi informasi dari instruksi CPU yang dieksekusi menggunakan cache CPU sebagai saluran samping. Saat ini, ada beberapa varian serangan ini:

Varian 1 (CVE-2017-5753, Spectrum): Batas memeriksa bypass
Varian 2 (CVE-2017-5715, juga Spectrum): Injeksi target cabang
Varian 3 (CVE-2017-5754, Meltdown): Rogue data cache load, pemeriksaan izin akses memori dilakukan setelah memori kernel dibaca

Penjelasan teknis lebih lanjut dari serangan ini di http://www.kb.cert.org/vuls/id/584653.

Dampak Meltdown dan Spectre di Zevenet Load Balancers

Risiko kerentanan ini dalam Zevenet Load Balancer rendah karena penyerang harus memiliki akses lokal ke sistem operasi dan mereka harus dapat mengeksekusi kode berbahaya dengan hak istimewa pengguna untuk memanfaatkannya. Zevenet Enteprise Edition adalah perangkat khusus jaringan yang tidak mengizinkan pengguna non-administratif lokal untuk mengeksekusi kode pihak ketiga, jadi ini tidak mungkin terjadi dan dapat dicegah dengan praktik administrasi yang baik.

Selain itu, jaringan manajemen Load Balancers biasanya bersifat pribadi dan tidak ada secara default pengguna tambahan selain pengguna administratif, sehingga risikonya rendah. Di sisi lain, sistem multi-tenant seperti lingkungan virtual publik, platform wadah dan lingkungan cloud dapat menghadapi risiko terbesar.

Untuk mencegah serangan, harap ikuti rekomendasi keamanan yang kami sebutkan di atas.

Saat ini, ada beberapa tambalan di tingkat Sistem Operasi untuk sepenuhnya mengurangi kerentanan ini tetapi mereka menghasilkan beberapa efek samping kinerja. Tim Keamanan kami bekerja untuk memberikan tambalan definitif untuk mengurangi ancaman keamanan ini sesegera mungkin dengan dampak minimum dalam layanan pengiriman aplikasi Anda.

Komunikasi lebih lanjut akan disediakan oleh Saluran Dukungan Resmi.