Los parches KernelCare contra la vulnerabilidad Spectre están en camino

El 9 de junio, Anthony Steinhauser, ingeniero de Google, publicó unos mensajes urgentes en la lista de correo del núcleo de Linux. En ellos, señalaba que los fallos de hardware de los chips de Intel y AMD están dejando a los servidores vulnerables a los exploits de Spectre, incluso después de parchear el kernel. Afortunadamente, el equipo KernelCare está desarrollando una solución para este problema. Los primeros parches estarán disponibles a finales de la semana del 22 de junio.

Los fallos en los chips dejan expuestos los servidores

Las vulnerabilidades de Spectre dejan a los servidores expuestos a ataques de ejecución especulativa. Se trata de ataques que hacen que los servidores realicen operaciones innecesarias que exponen datos confidenciales, para luego filtrarlos a través de un canal lateral desprotegido. Steinhauser señaló que los fallos lógicos de los procesadores x86 de Intel y AMD hacen que los parches actuales de Spectre sean ineficaces contra este tipo de ataques. 

Para protegerse de estos ataques, escribió, los fabricantes optimizaron su defensa Speculative Store Bypass Disable (SSBD). Optaron por esta defensa porque era menos costosa que la alternativa, una operación de escritura en un registro específico del modelo (MSR). Su decisión se ha vuelto problemática porque el fallo lógico de sus chips permite utilizar la optimización SSBD para desactivar el propio SSBD. 

Un problema relacionado señalado por Steinhauser es que otra defensa contra Spectre, Indirect Branch Prediction Barrier (IBPB), puede ser desactivada a la fuerza por Linux en determinadas situaciones. Además, escribió que los ajustes utilizados para evitar estas situaciones no funcionan: 

"Actualmente, es posible habilitar la especulación indirecta de bifurcaciones incluso después de haberla deshabilitado a la fuerza mediante la opción PR_SPEC_FORCE_DISABLE. Además, el comando PR_GET_SPECULATION_CTRL da después un resultado incorrecto (force-disabled cuando en realidad está habilitada)."

Las correcciones están en camino

El equipo de operaciones de KernelCare está trabajando actualmente en un nuevo parche que abordará estos fallos de hardware. Están familiarizados con las vulnerabilidades de Spectre y están escribiendo su propio código de parche de acuerdo con su investigación sobre lo que descubrió Steinhauser. 

Una vez que el equipo haya escrito un código de parche que considere eficaz, reproducirá los exploits SSBD e IBPB y probará el código para asegurarse de que protege contra ellos. Una vez que esté seguro de que el código resuelve estos problemas de seguridad sin causar problemas propios, el equipo lo subirá a los servidores de parches KernelCare y lo distribuirá a los clientes. 

Se espera que el nuevo parche esté listo a finales de la semana del 22 de junio. 

Si tiene más preguntas sobre cómo KernelCare protege los servidores contra estas vulnerabilidades basadas en hardware, no dude en ponerse en contacto con el equipo de KernelCare.