Intel ha informado del descubrimiento de una nueva brecha de ataque que explota los fallos de tipo «ataques de canal lateral de ejecución especulativa» (speculative execution side-channel attacks). Esta nueva vulnerabilidad, conocida como L1 Terminal Fault (L1TF) o Foreshadow, es parecida a las famosas Spectre y Meltdown que se hicieron públicas entre Enero y Mayo de 2018. Â
¿En qué consiste la vulnerabilidad L1TF?
Conocida como "L1 Terminal Fault (L1TF)" o "Foreshadow", la vulnerabilidad afecta a los procesadores que cuentan con la tecnologÃa SMT o "Hyper-Threading" que utiliza Intel y permite que un código malicioso ejecutado en un thread acceda a los datos de la caché L1 del otro thread, en un mismo core.
Â
Â
La explotación de esta vulnerabilidad es bastante compleja, y su existencia se ha podido comprobar mediante una prueba concreta y realizada en laboratorio. No existe ningún indicio de que tal vulnerabilidad haya sido aún explotada, ya se han creado tres identificadores CVE de nivel alto:
- L1 Terminal Fault: SGX (CVE-2018-3615) - 7.9 High CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
- L1 Terminal Fault: OS, SMM (CVE-2018-3620) - 7.1 High CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
- L1 Terminal Fault: VMM (CVE-2018-3646) - 7.1 High CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
¿Cómo protegerse?Â
Para mitigar las tres variantes de L1 Terminal Fault (L1TF) se requieren las siguientes acciones:
- utilización del microcódigo publicado en mayo (a través del boot UEFI o del sistema operativo);
- actualización de los sistemas operativos y los kernels (los principales editores de sistemas operativos y de hipervisores empezarán a distribuir los parches próximamente).
ZonaHosting y/o nuestros proveedores y partners, ya ha aplicado estos parches en sus hosts y se hayan validado a nivel interno todas las pruebas de regresión, como de costumbre. Por consiguiente, los clientes que tengan una solución administrada (Hosting, VPS, Clour, Servidor Dedicado, Streaming, TeamSpeak, Correo electrónico, etc.) no tienen que hacer nada. En cambio, aquellos clientes que dispongan de acceso root a sus infraestructuras (Servidores dedicados, VPS, Cloud, etc.) deberán actualizar el sistema operativo y los kernels para protegerlos.
Â
Aclaraciones sobre la variante CVE-2018-3646
En el caso concreto de la variante 3646 de Foreshadow, podrÃa ser necesario algo más de tiempo para desarrollar un parche. Mientras tanto, puede desactivar el Hyper-Threading para protegerse de este vector de ataque. En función del caso, es posible desactivarlo directamente desde el sistema operativo (Linux, Windows...). Según la información de que disponemos, VMware ESXi deberÃa ofrecer esta funcionalidad en una próxima actualización.
Â
Sin embargo, esta operación podrÃa afectar considerablemente al rendimiento de la máquina. Dada la complejidad de explotación de esta vulnerabilidad, le recomendamos que, antes de desactivar el Hyper-Threading, consulte las recomendaciones del editor del sistema operativo o hipervisor que utilice. (Ver el apartado "Más información" a pie de página)
Â
Recomendaciones generales
Como siempre, recomendamos a todos nuestros clientes de: VPS, DEDICADOS y sistemas SIN ADMINISTRACIÓN, que mantengan sus sistemas actualizados para garantizar la máxima eficacia de las medidas de protección implementadas.
Â
Como proveedores de alojamiento, VPS, Clourd, Streamign, TeamSpeak, etc. trabajamos para mejorar cada dÃa la seguridad de nuestras infraestructuras. Por lo tanto, aplicamos los parches y las medidas correctivas pertinentes en cuanto se descubren nuevas vulnerabilidades para reforzar las demás medidas internas de protección.
Â
Más información
-
Â