史上最大CPU缺陷Meltdown融毀和Spectre幽靈來襲,各網絡設備廠家反饋以及解決方案匯總
新年好,轉眼就到了2018。首先祝福大家新年快樂,萬事如意!
熱鬧的一月
就在大家剛享受完短暫的元旦假期,1月3號互聯網上就爆出了一個非常勁爆的消息,Intel,AMD,ARM的CPU暴露兩個重大Bug,分別稱為Meltdown融毀以及Spectre幽靈,當今所有的CPU都暴露在此Bug之下。攻擊者可以通過這些Bug在CPU層面獲取包括密碼等個人敏感信息。
Meltdown融毀和Spectre幽靈攻擊簡介
若要詳細展開說融毀和幽靈攻擊的原理,一時半會也說不完。有興趣的可以閱讀Google Zero團隊的文章《Reading privileged memory with a side-channel》
為了讓大家對此CPU缺陷有個大致的了解,我使用了一種通俗但不太準確的解釋如下:
正常情況下,我們電腦的CPU為了提高運行效率,會自作聰明的猜測用戶程序的動作。例如某個程序持續性的讀取某個內容n次,那麽CPU會認為此程序在第N+1次也會繼續讀取相關內容。因此CPU會提前把它預測的N+1次內容提前讀取並存入高速Cache緩存中。
大概率情況下,CPU都猜對了,從而提高了工作效率。但再聰明的CPU也有犯錯誤的時候。
如果CPU在第N+1次猜錯了怎麽辦?
無所謂,猜錯了就把剛剛提取的錯誤內容從高速Cache緩存裏面丟棄就行了。再按照程序的要求重新讀取正確的內容就行了。
可就在CPU判斷是否猜錯之前,存在那麽一種時間窗口,通過某種手段能夠把提取錯的內容從Cache裏面竊取到手。
攻擊者就借助這個設計上的缺陷,編寫程序制造某個持續性動作,使得CPU自作聰明預測程序N+1次的動作。而攻擊者程序會在第N+1個動作的時候,刻意改變其持續已久的動作從而讓CPU犯錯!
宏觀上來說,當犯錯積累到一定量時攻擊者就能成功竊取出數據流,速度大致在100k每秒。這100k足夠竊取你的密碼了。
針對以上CPU缺陷和不同的CPU平臺以及技術手段,又衍生出兩種攻擊方式:Meltdown融毀 和 Spectre幽靈。
為了讓大家快速了解兩者的區別,作表如下:
| Spectre幽靈 | Meltdown融毀 | |
|---|---|---|
| CPU機制 | 基於分支的預測執行 | 亂序執行 |
| 影響平臺 | Intel,AMD,ARM CPU | Intel平臺CPU |
| 攻擊難度 | 高難度 | 低難度 |
| 影響範圍 | 跨進程和進程內部(包括內核)的內存泄漏 | 內核內存可以泄漏到用戶空間 |
Meltdown融毀和Spectre幽靈影響波及範圍
理論上來說,從現在回溯20年,所有的CPU,無論電腦,手機,雲計算產品都在此影響範圍內。
正如上表所述,AMD和ARM的CPU僅僅受到了Spectre幽靈攻擊的影響,而Intel的CPU則是同時受到了兩者的威脅。
幸運的時,對於AMD和ARM來說,一方面Spectre幽靈攻擊難度極高,需要用戶進程和系統內核配合才行,時機很重要。另外一方面,AMD和ARM可以通過軟件補丁搞定此缺陷。
而Intel就沒有那麽幸運了,由於是硬件設計的原因,無法簡單通過軟件修補解決問題,只能通過一些變通的笨辦法解決此問題。而這些笨辦法導致Intel的CPU性能下降最高30%。
(無獨有偶,Intel CEO Brian Krzanich 在Google於2017年6月通知他們此漏洞之後的幾個月內把個人持有的市值2400萬美元的Intel股票全變現了,這不就是赤裸裸準備跑路的節奏。)
CPU缺陷的另一個重災區: IT基礎設施
就在大家都在討論此CPU缺陷如何影響個人電腦設備以及移動設備時,作為IT工程師的我們,更應該關註於身邊的IT基礎設施,例如路由器,交換機,服務器等。
畢竟現如今的絕大部分設備均采用以Intel為首的x86架構CPU。一旦基礎設備遭受到此類型的攻擊,造成的後果不堪設想。為了及時避免此問題,及時打上廠商提供的補丁變得尤其緊迫。
為了便於大家查找,我匯總了日常工作中常見廠商針對此CPU缺陷的反饋意見以及補丁連接。希望對大家有幫助。
-----------分割線---------
廠商CPU缺陷反饋意見匯總
Cisco 思科 戳我進入Cisco原文鏈接
Cisco官方總結:
如果攻擊者要利用這些漏洞中的任何一個,他必須能夠在受影響的設備上運行精心制作的代碼。 盡管產品或服務中的底層CPU和操作系統組合可能會受到這些漏洞的影響,但大多數思科產品都是封閉系統,不允許客戶運行自定義代碼,因此不易受到攻擊。 沒有載體來利用它們。
只有當思科產品允許客戶在同一個CPU下同時執行自定義代碼和思科的代碼時,思科產品才被認為是潛在的脆弱點。
雖然思科產品可能作為虛擬機或容器部署,且自身並不會直接受到此攻擊的影響。但是如果主機環境容易受攻擊的話,這些思科虛擬機或者容器就容易成為攻擊目標。
思科建議客戶加強其虛擬環境,嚴格控制用戶訪問,並確保安裝所有安全更新。
雖然思科雲服務不直接受到這些漏洞的影響,但他們運行的基礎架構可能會受到影響。 有關這些漏洞對思科雲服務的影響,請參閱此通報的“受影響的產品”部分。思科將發布解決這些漏洞的軟件更新。
- 確認存在安全隱患的產品:
- 正在調查中的產品:
Collaboration and Social Media
Cisco Meeting Server
Network Application, Service, and Acceleration
Cisco vBond Orchestrator
Cisco vEdge 5000
Cisco vEdge Cloud
Cisco vManage NMS
Cisco vSmart Controller
Routing and Switching - Enterprise and Service Provider
Cisco 4000 Series Integrated Services Routers (IOS XE Open Service Containers)
Cisco ASR 1000 Series Aggregation Services Routers with RP2 or RP3 (IOS XE Open Service Containers)
Cisco ASR 1001-HX Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco ASR 1001-X Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco ASR 1002-HX Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco ASR 1002-X Series Aggregation Services Routers (IOS XE Open Service Containers)
Cisco Catalyst 9300 Series Switches (IOx feature)
Cisco Catalyst 9400 Series Switches (IOx feature)
Cisco Catalyst 9500 Series Switches (IOx feature)
Cisco Cloud Services Router 1000V Series (IOS XE Open Service Containers)
Cisco Industrial Ethernet 4000 Series Switches (IOx feature)
Cisco Nexus 4000 Series Blade Switches
Cisco Nexus 6000 Series Switches
Cisco Nexus 7000 Series Switches
Cisco Nexus 9000 Series Switches - Standalone, NX-OS mode
Cisco c800 Series Integrated Services Routers
- 確認沒有安全隱患的產品:
思科已經確認這些漏洞不會影響以下產品或雲服務:
Network Application, Service, and Acceleration
Cisco vEdge 1000
Cisco vEdge 100
Cisco vEdge 2000
Routing and Switching - Enterprise and Service Provider
Cisco 1000 Series Connected Grid Routers
Cisco 500 Series WPAN Industrial Routers (IOx feature)
Cisco ASR 1001 Fixed Configuration Aggregation Services Router
Cisco ASR 1002 Fixed Configuration Aggregation Services Router
Cisco ASR 1002-F Fixed Configuration Aggregation Services Router
Cisco Catalyst 3650 Series Switches
Cisco Catalyst 3850 Series Switches
Cisco Cloud Hosted Services
Cisco Cloudlock
Cisco Meraki
Cisco Spark
Cisco Umbrella
Cisco WebEx Centers - Meeting Center, Training Center, Event Center, Support Center
華為 戳我進入Huawei原文鏈接
華為官方總結:
Note:
[1] 需升級BIOS組件到V382版本,升級iBMC組件到V268版本。除以上組件外,還需要升級操作系統補丁,其中操作系統補丁由操作系統供應商提供。
[2] 需升級BIOS組件到V055版本,升級iBMC組件到V270版本。除以上組件外,還需要升級操作系統補丁,其中操作系統補丁由操作系統供應商提供。
Juniper 戳我進入Juniper原文鏈接
Juniper官方總結:
Juniper SIRT正在積極研究對Juniper網絡產品和服務的影響。如果以允許未簽名的代碼執行的方式部署,以下產品可能會受到影響:
- Junos OS based platforms
- Junos Space appliance
- Qfabric Director
- CTP Series
- NSMXpress/NSM3000/NSM4000 appliances
- STRM/Juniper Secure Analytics (JSA) appliances
- SRC/C Series
- 確認沒有安全隱患的產品:
以下產品不受影響。 他們不具備利用這些漏洞所需的場景:
- ScreenOS / Netscreen platforms
- JUNOSe / E Series platforms
- BTI platforms
- Cyphort appliance
Juniper正在繼續調查他們的產品組合,以了解上述未提及的受影響產品。 在可能的情況下,Juniper將會開發防止這類攻擊的修復程序。 到時候JSA會隨之而更新。
Nokia(阿朗) 戳我進入Nokia原文鏈接,需要OLCS登陸賬戶
Nokia官方總結:
諾基亞IP路由使用私有系統不會受到CPU缺陷的影響。
SR / SR MG / SAS / SAR / SAR-Hm / IXR路由器不受影響。
諾基亞IP路由器是運行SR操作系統的封閉系統,這個操作系統是諾基亞專有的,不像通用操作系統不允許用戶執行代碼,從而防止攻擊者利用諸如熔毀/幽靈等處理器漏洞。
VSR / VMG(CMG)虛擬機不會受到Meltdown和Spectre處理器漏洞的直接影響,但主機系統易受攻擊。
要采取的措施:
對於VSR / VMG(CMG)部署,諾基亞建議遵循主機操作系統和管理程序制造商安全 來自RedHat,CentOS,Ubuntu或VMware的補丁建議; 取決於部署的平臺。
Vmware 戳我進入Vmware原文鏈接
Vmware官方總結:
請查看產品和版本的補丁/發行說明
VMware ESXi 6.5
Downloads:
https://my.vmware.com/group/vmware/patch
Documentation:
http://kb.vmware.com/kb/2151099
VMware ESXi 6.0
Downloads:
https://my.vmware.com/group/vmware/patch
Documentation:
http://kb.vmware.com/kb/2151132
VMware ESXi 5.5
Downloads:
https://my.vmware.com/group/vmware/patch
Documentation:
http://kb.vmware.com/kb/2150876
VMware Workstation Pro, Player 12.5.8
Downloads and Documentation:
https://www.vmware.com/go/downloadworkstation
https://www.vmware.com/support/pubs/ws_pubs.html
VMware Fusion Pro / Fusion 12.5.9
Downloads and Documentation:
https://www.vmware.com/go/downloadfusion
https://www.vmware.com/support/pubs/fusion_pubs.html
Checkpoint 戳我進入Checkpoint原文鏈接
Checkpoint官方總結:
由於Check Point設備上的代碼執行權限僅提供給管理員,因此這些特權升級攻擊與Check Point設備的相關性較低。
F5 戳我進入F5原文鏈接
F5官方總結:
下表標記為“None”的產品,此次CPU缺陷對其沒有任何影響。
標記為 * 的產品, F5仍在研究此問題,並在確認所需信息後更新本文。 F5技術支持沒有關於此問題的其他信息。
紅帽Redhat 戳我進入Redhat原文鏈接
紅帽Redhat官方總結:
紅帽產品安全已將此更新評為重要的安全影響。下列紅帽產品版本受到影響:-
Red Hat Enterprise Linux 5
-
Red Hat Enterprise Linux 6
-
Red Hat Enterprise Linux 7
-
Red Hat Atomic Host
-
Red Hat Enterprise MRG 2
-
Red Hat OpenShift Online v2
-
Red Hat OpenShift Online v3
-
Red Hat Virtualization (RHEV-H/RHV-H)
-
Red Hat Enterprise Linux OpenStack Platform 6.0 (Juno)
-
Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) for RHEL7
-
Red Hat Enterprise Linux OpenStack Platform 7.0 (Kilo) director for RHEL7
-
Red Hat OpenStack Platform 8.0 (Liberty)
-
Red Hat OpenStack Platform 8.0 (Liberty) director
-
Red Hat OpenStack Platform 9.0 (Mitaka)
-
Red Hat OpenStack Platform 9.0 (Mitaka) director
-
Red Hat OpenStack Platform 10.0 (Newton)
-
Red Hat OpenStack Platform 11.0 (Ocata)
- Red Hat OpenStack Platform 12.0 (Pike)
其他廠商匯總
Fortinet
Arista
ExtremeNetworks
Sophos
Palo Alto Networks
總結
此次暴露的CPU缺陷十足讓所有人為互聯網安全再次捏了一把汗。同時,此次事件再次為硬件廠商敲響警鐘,安全的投入不能省啊!
我個人僅僅總結了大家常見的廠商針對此次事件的反饋匯總,如果大家需要其他廠商的信息請留言,我會盡量給大家匯總。
謝謝!
史上最大CPU缺陷Meltdown融毀和Spectre幽靈來襲,各網絡設備廠家反饋以及解決方案匯總