CPU bugs Meltdown en Spectre

Update: Bugs Meltdown en Spectre

Wereldwijd zijn miljoenen computers kwetsbaar voor bugs Meltdown en Spectre. De eerste patches zijn vrijgegeven en worden doorgevoerd. Voor servers vormen de bugs ook een beveiligingsrisico. Wat de bugs doen en welke maatregelen wij als cloudprovider nemen lees je in dit artikel. 

Meltdown en Spectre

Beveiligingsexperts hebben twee grote bugs (Meltdown en Spectre) gevonden in processoren van Intel, AMD en ARM. Door de bugs kunnen kwaadwillenden toegang krijgen tot het systeemgeheugen, waardoor wachtwoorden en andere gevoelige gegevens te achterhalen zijn. Naar schatting zijn miljoenen laptops, smartphones en servers kwetsbaar.

Meltdown

De eerste bug, Meltdown, maakt gebruik van ‘speculative execution’. Dit is een optimalisatietechniek om kernelgeheugen uit te lezen. Hierdoor wordt het mogelijk om geheugenisolatie te omzeilen en om kwetsbare gegevens uit te lezen. Omdat Meltdown een lek in de processor is, omzeilt het software en maakt het dus niet uit welk besturingssysteem je gebruikt. Volgens de onderzoekers zouden zelfs Intel-processoren uit 1995 kwetsbaar zijn.

Spectre

De tweede bug, Spectre, maakt ook gebruik van speculative execution. Op vrijwel identieke wijze kan gevoelige informatie via het geheugen uit het systeem worden gehaald. Het grootste verschil met Meltdown is dat Meltdown een Intel-only exploit is en dat Spectre van toepassing is op AMD en ARM-processoren. Een ander groot verschil is dat de inhoud bij het Spectre-lek ook te onderscheppen is wanneer andere gebruikers toepassingen gebruiken.

Verschillen Meltdown en Spectre

De verschillen tussen Meltdown en Spectre zijn mooi omschreven door securityblogger Daniel Miessler. Hij maakte onder andere onderstaande visual:

verschillen tussen de bugs Meltdown en Spectre

Bron afbeelding: Daniel Miessler

De impact op cloudservers

Het grootste risico vindt plaats als er meerdere gebruikers zijn die dezelfde CPU gebruiken, schrijft Miessler op zijn blog. Daaronder vallen systemen met meerdere gebruikersaccounts, gevirtualiseerde omgevingen en cloud(servers).

Het risico voor een private cloud omgeving is kleiner, omdat daar een eigen machine op gehost wordt en de resources niet gedeeld worden met anderen.

Servers patchen

Het advies van de beveiligingsonderzoekers is om servers te patchen. Onze engineers zijn daar op dit moment druk mee bezig en houden de uitgave van nieuwe patches nauw in de gaten.

Nog niet alle hardware- en softwarefabrikanten beschikken op dit moment over patches, al wordt verwacht dat deze snel zullen verschijnen. Voor Microsoft-servers zijn die eerste patches beschikbaar, voor Ubuntu worden deze spoedig verwacht.

Overigens geldt het advies om te updaten niet alleen voor servers, maar ook voor laptops en andere apparaten die over moderne processoren beschikken. Houd je smartphone en laptop dus goed in de gaten voor updates. Apple heeft het probleem opgelost in 10.13.2.

Performanceproblemen

Het advies om te patchen is niet geheel zonder consequenties. Updaten kan namelijk performanceproblemen opleveren, zo schrijft Tweakers.

Afhankelijk van de toepassingen zou er prestatieverlaging van 5 tot 30 procent kunnen optreden. Onze engineers onderzoeken op dit moment de impact van mogelijke performanceproblemen. Zodra de patches voor serveromgevingen beschikbaar zijn, worden deze uitvoerig getest in een gecontroleerde omgeving. We controleren onder andere of er servers zijn met een verhoogd CPU-gebruik, zodat we eventuele problemen na een performance-impact voor kunnen zijn en snel kunnen handelen mocht dit het geval zijn.

Update 12 februari:

Inmiddels zijn we ruim een maand verder en is er meer bekend over Spectre en Meltdown. Hieronder een kleine opsomming van de drie belangrijkste zaken: het security-risico, de performance-impact en stabiele patches.

Security-risico

We ontvangen veel vragen over het risico van de lekken. Onze security-engineers schatten het risico laag in voor onze eigen hostingomgevingen. Het lek blijkt in de praktijk moeilijk te exploiten en echte exploits zijn nog niet gesignaleerd in het wild. Een gebruiker moet toegang hebben tot de server verkrijgen om gebruik te maken van de kwetsbaarheid. Dit is in de praktijk zeer lastig.

Performance

Aanvankelijk waren er verhalen over performance-issues. Er zijn daarnaast diverse benchmarks online te vinden. Deze issues zijn wij niet tegengekomen. We zijn proactief door servers gelopen die wat hogere usage hebben en hebben die in kaart gebracht. Bij het patchen gaan we die servers extra in de gaten houden. Belangrijk om te melden is dat onze servers vaak beschikken over extra capaciteit, waardoor we in de meeste loads geen verschil zullen zien. Er is genoeg ruimte om de continuïteit te borgen.

Patches

Inmiddels zijn de patches voor Windows servers beschikbaar en doorgevoerd. Het wachten is nog op een stabiele KernelCare-patch voor de Linux servers. Bij het patchen via KernelCare heeft een server geen reboot nodig, waardoor de webomgeving gewoon beschikbaar blijft tijdens het deployen van de patch.

De afgelopen tijd waren veel patches beschikbaar, maar er is een belangrijke reden waarom we hebben gewacht met sommige patches. Veel patches waren in het begin niet stabiel. Zo werd op 23 januari door Intel gemeld dat cloudproviders moesten stoppen met het deployen van patches omdat deze niet stabiel zouden zijn. Linus Torvalds (Linux), noemde deze updates zelfs ‘utter garbage’. Geadviseerd werd om servers te downgraden. Om veiligheid en continuïteit te borgen, hebben we gekozen om te wachten op stabiele patches. Voor KernelCare is er op het moment van schrijven (12 februari ’18) nog geen patch uitgebracht.

Zodra deze patch er is, zal deze meegenomen worden in de live-migraties van de shared hostmachines. Voor de private clouds gaan we in overleg met de klant een upgrade doen.

Dit artikel is een work-in-progress. Nieuwe, relevante informatie wordt gedeeld zodra deze beschikbaar is. Een wijziging wordt gekenmerkt met een dikgedrukte ‘EDIT:’. Bent u klant van True en heeft u vragen over uw serveromgeving? Maak een ticket aan in TrueCare. 

E-book: Security & compliance voor digitale organisaties

Wereldwijd nemen digitale aanvallen in rap tempo toe en de nieuwe privacywet staat voor de deur. In dit e-book lees en leer je:

  • praktische tips voor betere websecurity;
  • wat de privacywet betekent voor webbouwers;
  • wat je van een hostingprovider mag verwachten.
e-book-security-en-compliance
CPU bugs Meltdown en Spectre
Kilian Drewel
Chief Content
Deel dit artikel via sociale media:
BadRabbit ransomware aanval

Digitale werkplek - 25.10.2017

Na NotPetya en WannaCry is er nieuwe ransomware-aanval: Bad Rabbit. Deze nieuwe ransomware aanval heeft al diverse slachtoffers gemaakt in Oost-Europese landen. Onder de getroffenen bevinden zich onder andere mediabedrijven, metrostations en zelfs vliegvelden. Vooralsnog zijn er geen berichten over Nederlandse slachtoffers. Wat is er aan de hand? En moeten organisaties stappen ondernemen?  Wat is er aan de hand? Malafide […]

Ransomware aanval op jouw bedrijfsnetwerk voorkomen

Security - 17.08.2017

Wereldwijd neemt het aantal ransomware-aanvallen drastisch toe, WannaCry en (Non)Petya als meest recente voorbeelden. Volgens diverse onderzoeken zijn steeds meer organisaties, ook in Nederland, slachtoffer van ransomware. Over het algemeen geldt dat voorkomen beter is dan genezen. Hoewel 100% veiligheid nooit te garanderen is, zijn er diverse maatregelen te nemen om uw organisatie maximaal te […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vertel ons uw uitdagingen

Vul onderstaand formulier in om direct met True in contact te komen.