인텔 펌웨어 및 프로세서 '커널 메모리 누수'취약성

게시자 Zevenet | 4 년 2018 월 XNUMX 일

WeGO 소개

인텔은 최근에 장치 및 서버 플랫폼에 영향을 미치는 일부 프로세서 및 펌웨어의 구현 및 디자인에 영향을 미치는 일련의 취약점을 발표했습니다.

다음 섹션에서는 이러한 취약성이 데이터 센터의 네트워킹 장치 및 서버 기반 인프라에 미치는 영향에 대해 설명합니다.

인텔 펌웨어 취약점

이 취약점의 위험을 해결하기 위해 인텔은 시스템 및 보안 관리자가 다음과 같은 리소스를 제공하여 이러한 위협을 해결할 수 있도록 권장 사항을 게시했습니다.

Intel-SA-00086 보안 검토
Intel-SA-00086 지원 자료
Intel-SA-00086 탐지 도구

그것은에 추천한다 위의 관찰을 읽으십시오.펌웨어 업데이트 적용 이러한 약점을 활용할 수있는 향후 공격의 경우 안전한 인프라를 유지하기 위해 여러 공급 업체가 제공 한 것입니다.

이러한 취약점이 데이터 센터의 네트워킹 인프라에 미치는 영향과 관련하여 다음과 같은 전제를 요약 할 수 있습니다.

1. 이러한 취약성은 대부분의 Intel 프로세서에 영향을 미치며 이들 중 하나의 영향을받을 가능성이 높습니다.
2. 이 취약점은 권한 에스컬레이션 위협에 기반하므로 임의 코드를 실행할 수 있으려면 운영 체제에 로컬로 액세스해야합니다. 또는 최소한이 취약점을 악용하려면 관리자 권한으로 원격 액세스해야합니다.
3. 공급 업체에서 제공하는 펌웨어 업데이트를 적용하고 Intel ME (Intel Management Engine), Intel TXE (Intel Trusted Execution Engine), Intel SPS (Server Platform Services) 및 Intel ATM과 같은 서비스를 사용할 수 있는지 여부를 비활성화해야합니다.
4. 관리 네트워크를 격리하여 운영 체제에 대한 로컬 및 원격 액세스를 강화하고 운영 체제에 대한 사용자 또는 프로세스 액세스 권한을 피하십시오.
5. 가상 또는 하드웨어 플랫폼, 온 프레미스 또는 클라우드 환경, 심지어 마이크로 서비스에도 영향을 미칩니다. 모든 계층은 이러한 위협을 보호해야합니다.

커널 메모리 누출 취약점 또는 Intel CPU 버그

인텔 CPU는 마이크로 코드 업데이트로 해결할 수없는 중요한 칩 레벨 보안 버그로 인해 영향을 받았지만 OS 레벨에서는 모든 취약점 (Windows, Linux 및 macOS)에 영향을줍니다.

그리고, 커널 메모리 누수 취약점 모든 사용자 공간 프로그램 (데이터베이스, 자바 스크립트, 웹 브라우저 등)이 운영 체제에 지정된 가상 메모리 경계를 초과하여 보호 된 커널 메모리의 특정 내용에 불법적으로 액세스 할 수있는 문제에 직면합니다. OS 레벨의 수정 사항은 커널 페이지 테이블 격리 (KPTI) 커널 메모리가 사용자 프로세스에서 보이지 않도록합니다.

그러나 이것이 완벽한 세상은 아니기 때문에이 패치에 의해 적용된 강화 된 보안은 약 30 %의 사용자 프로그램에 큰 성능 저하를 가져옵니다. 또한 속도 저하는 커널과 사용자 공간 프로그램 간의 작업 부하 및 I / O 집약적 사용에 따라 크게 달라집니다. 데이터 센터 내의 네트워킹 기능의 특정 사례의 경우 SSL 오프로드, 콘텐츠 스위칭 등과 같은 집약적 인 레이어 7 기능이 있지만 작업이 명확하고 너무 많은 데이터 처리를 처리하지 않기 때문에 그다지 중요하지 않습니다.

이 취약점은 커널 메모리의 데이터 내용을 읽기 위해 주로 프로그램이나 로그인 한 사용자가 악용 할 수 있습니다. 따라서 가상화, 마이크로 서비스 또는 클라우드 시스템과 같은 리소스 공유 환경이 영향을 받고 남용 될 가능성이 더 높습니다.

OS 수준의 확실한 패치가 제공되기 전까지는 이전 섹션에서 설정 한 예방 포인트로 충분합니다.

AMD는 자사의 프로세서가 취약점에 의해 영향을받지 않으며 따라서 페널티 성능에 의해 영향을받지 않는 것으로 확인했습니다.

붕괴 및 스펙터 공격

Meltdown 및 Spectre 공격은 CPU 캐시를 사이드 채널로 사용하여 실행 된 CPU 명령어에서 정보를 추출하는 기능을 활용하는 여러 CPU 하드웨어 구현에서 발견되는 측면 채널 취약점을 나타냅니다. 현재이 공격에는 다음과 같은 몇 가지 변형이 있습니다.

변종 1 (CVE-2017-5753, Spectre) : Bounds check bypass
변형 2 (CVE-2017-5715, Spectre) : 분지 표적 분사
변종 3 (CVE-2017-5754, 붕괴) : 악의적 인 데이터 캐시로드, 커널 메모리 읽기 후에 수행 된 메모리 액세스 권한 검사

이 공격에 대한 기술적 인 설명은 http://www.kb.cert.org/vuls/id/584653.

Zevenet로드 밸런서에서의 멜트 다운 및 스펙터의 영향

Zevenet Load Balancer에서 이러한 취약점이 발생할 위험이 적습니다. 공격자는 운영 체제에 대한 로컬 액세스 권한이 있어야하며이를 이용하기 위해 사용자 권한으로 악성 코드를 실행할 수 있어야합니다. Zevenet Enteprise Edition은 관리자가 아닌 로컬 사용자가 타사 코드를 실행하는 것을 허용하지 않는 네트워킹 특정 어플라이언스이므로 이러한 일이 발생할 가능성이 낮으며 좋은 관리 방법으로 방지 할 수 있습니다.

또한로드 밸런서 관리 네트워크는 일반적으로 비공개이며 기본적으로 관리 사용자보다 추가 사용자가 없으므로 위험이 적습니다. 다른 한편으로는 공공 가상 환경, 컨테이너 플랫폼 및 클라우드 환경과 같은 멀티 테넌트 (multi-tenant) 시스템이 가장 큰 위험에 직면 할 수 있습니다.

공격을 막으려면 위에 나열된 보안 권장 사항을 따르십시오.

현재 운영 체제 수준에서 이러한 취약점을 완전히 완화 할 수있는 패치가 있지만 성능상의 부작용이 있습니다. McAfee 보안 팀은 응용 프로그램 제공 서비스에 미치는 영향을 최소화하면서 가능한 빨리 보안 위협을 완화 할 수있는 확실한 패치를 제공하기 위해 노력하고 있습니다.

추가 통신은 공식 지원 채널.

공유 :

GNU Free Documentation License의 조건에 따른 문서.

이 글이 도움 되었나요?

관련 기사