Le vulnerabilità Meltdown e Spectre colpiscono le CPU x86-64: la totale mobilitazione di OVH

Come tutte le aziende IT, anche OVH è stata informata delle falle di sicurezza individuate dai ricercatori sui processori x86-64. Queste vulnerabilità permettono di attuare su larga scala attacchi di tipo side-channel, finora poco diffusi per la loro complessità di realizzazione.

Aggiornamenti

[Aggiornamento del 9 gennaio alle 22:00]

OVH prosegue nell’adozione delle misure necessarie alla protezione delle proprie infrastrutture. I clienti per cui è necessario un riavvio dei servizi sono stati informati via email.
I due documenti pubblicati il 7 gennaio per comunicare in tempo reale lo stato dei servizi OVH rispetto alle vulnerabilità Meltdown e Spectre e la disponibilità delle patch per i diversi sistemi operativi sono stati aggiornati regolarmente nelle ultime 48 ore, per fornire informazioni il più esaustive possibili.
Per offrire una migliore comprensione dei dettagli tecnici, abbiamo pubblicato un articolo sulle varianti di Spectre e Meltdown redatto da uno dei nostri architetti di sicurezza. Attenzione, questa lettura è destinata a un pubblico competente in materia!
Inoltre, uno dei nostri ingegneri in sicurezza ha condiviso su GitHub un tool che permette di testare la vulnerabilità delle distribuzioni Linux alle 3 varianti di Spectre e Meltdown.

[Aggiornamento del 7 gennaio alle 14:00]

I team OVH hanno lavorato senza sosta per tutta la settimana, week-end compreso.
L’applicazione delle patch rilasciate fino a questo momento ha già permesso di proteggere alcuni servizi.
Per gli altri è in corso, o lo sarà a breve, la messa in sicurezza.
Tutte le operazioni associate a questo piano d’azione saranno disponibili sul sito travaux.ovh.net.

Nel complesso la situazione è sotto controllo.

Tuttavia, siamo consapevoli delle possibili difficoltà da parte degli utenti nel valutare la situazione e conoscere le azioni da intraprendere per proteggere i propri servizi da Metldown e Spectre.

Questa complessità è dovuta alla varietà di configurazioni software e hardware coinvolte e al fatto che i servizi sono amministrati, totalmente o in parte, da OVH. Questo implica che in alcuni casi gli utenti non devono effettuare nessuna operazione, mentre in altri è richiesto il loro intervento. A questo si aggiunge il fatto che, quando le patch sono disponibili, sono in grado di proteggere solo uno o due dei 3 vettori di attacco.

Per ognuno dei nostri servizi, abbiamo quindi pensato di creare una pagina che riassume due informazioni importanti:

- le misure adottate da OVH per proteggere il servizio

- le azioni che devono essere intraprese dall’utente per proteggere il servizio (quando necessario)

Questa pagina verrà aggiornata regolarmente, man mano che la situazione si evolve.
In questo modo sarete sempre informati circa lo stato delle operazioni di protezione e, quando sarà necessario il vostro intervento, forniremo tutte le informazioni su come e quando è preferibile passare all’azione.

Per offrirvi un ulteriore supporto abbiamo creato anche una seconda pagina che specifica il procedimento da seguire per applicare le patch al kernel, in base al sistema operativo installato sui server.

Oltre all’aggiornamento regolare delle informazioni condivise, la nostra sfida è anche rendere questo insieme di dati il più comprensibile possibile in modo che tutti i nostri clienti, indipendentemente dalla propria situazione, possano trovare facilmente le informazioni di cui hanno bisogno.

 

Comunicazione del 4 gennaio 2018

Queste vulnerabilità, rese pubbliche nella notte tra il 3 e il 4 gennaio dal Project Zero di Google, sono note con il nome di Meltdown e Spectre. Includono 3 distinti vettori di attacco:

  • CVE-2017-5715 (branch target injection – Spectre)

  • CVE-2017-5753 (bounds check bypass – Spectre)

  • CVE-2017-5754 (rogue data cache load – Meltdown)

Al momento non sono noti casi reali in cui le vulnerabilità siano state sfruttate esternamente ai laboratori di ricerca. La loro riproduzione richiede oggi procedimenti tecnici complessi, ma senza dubbio ne appariranno di più semplici in futuro.

Intel, leader mondiale dei microprocessori, ha confermato l’esistenza delle vulnerabilità sulle proprie CPU e, in collaborazione con i propri partner (in primo luogo i fornitori dei sistemi operativi), è impegnata nella ricerca di soluzioni per ridurre l’esposizione dei propri chip a questo tipo di attacco tramite patch da implementare a diversi livelli:

  • sistema operativo e Virtual Machine Manager

  • microcodice del processore (via BIOS/UEFI)

In OVH, un team dedicato di esperti in sicurezza lavora a pieno ritmo. Siamo in contatto diretto con i principali attori impegnati nello sviluppo delle patch: i maggiori fornitori di sistemi operativi liberi (in particolare le distribuzioni GNU/Linux) o proprietari (Microsoft, VMware) e i produttori di schede madri.

La maggior parte di loro sono al corrente delle vulnerabilità già da diverse settimane, e hanno subito iniziato a lavorare alla correzione del codice. I diversi fornitori e community iniziano ora ad annunciare e rilasciare queste patch, e i nostri team provvedono prontamente a testarle per accertarne la stabilità e renderle disponibili il prima possibile.

Non bisogna però dimenticare che gli aggiornamenti apportano rilevanti modifiche alla struttura del kernel e i rischi di instabilità non sono trascurabili, anche se è ancora troppo presto per identificare con esattezza il loro impatto futuro sulle prestazioni dei server. I nostri test interni indicano che gli eventuali impatti sulle performance sono estremamente variabili e dipendono dall’ambiente di lavoro (workload) e dai servizi eseguiti. È inoltre probabile che l’efficacia dei primi aggiornamenti disponibili venga ottimizzata nel tempo, attenuando progressivamente gli effetti indotti dalle modifiche a livello del kernel.

Considerando il tempo di sviluppo insolitamente ridotto delle patch finora rilasciate, che rende inverosimile la possibilità di effettuare test su tutte le configurazioni disponibili sul mercato, è altamente probabile che seguiranno altri aggiornamenti per la correzione dei bug rilevati. Sappiamo comunque che, salvo eccezioni, le patch ufficiali saranno disponibili esclusivamente per le versioni mantenute di kernel e sistemi operativi (in base al fornitore).

In parallelo, stiamo studiando in dettaglio le possibili modalità di sfruttamento delle vulnerabilità individuate, per calcolare i rischi con una maggiore precisione e condividere le raccomandazioni con i nostri clienti. I team OVH sono molto attenti anche alle misure correttive da adottare per proteggere le eventuali vulnerabilità dei processori non Intel.

Siamo in contatto con l’Agence nationale de la sécurité des systèmes d’information (ANSSI), che ha pubblicato un alert di sicurezza riguardo Meltdown e Spectre.

Al contempo, stiamo analizzando i diversi scenari che permettono l’implementazione delle patch ufficiali nel minor tempo possibile, minimizzando così l’impatto sulla disponibilità dei servizi. Il riavvio di alcune infrastrutture è indispensabile per consentire l’aggiornamento dei server vulnerabili.

Vi terremo aggiornati sul piano d’azione e sulla pianificazione delle operazioni di aggiornamento associate. Al momento opportuno forniremo maggiori dettagli sugli eventuali interventi da eseguire per l’applicazione degli aggiornamenti sulle macchine fisiche e virtuali.