ClickCease Zombieload - CVE crítica de Linux afecta a casi todas las CPU Intel - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Zombieload - CVE crítica de Linux afecta a casi todas las CPU Intel

10 de junio de 2019 - Equipo de relaciones públicas de TuxCare

El MDS crítico afecta a casi todas las CPU de Intel
Contenido

  1. ¿Qué es la vulnerabilidad Zombieload?
  2. ¿Qué es el ataque MDS?
  3. ¿A qué CPU afecta Zombieload?
  4. ¿Cómo mitigar la vulnerabilidad MDS/Zombieload?
  5. Calendario de publicación de parches de vulnerabilidad MDS/Zombieload

 

¿Qué es la vulnerabilidad Zombieload?

Las vulnerabilidades de Linux se están convirtiendo en celebridades, con nombres raros y sus propios sitios web.

Las últimas en aparecer son Zombieload, RIDL y Fallout, también conocidas como Microarchitectural Data Sampling,(MDS para abreviar), descubiertas por Intel e investigadas por departamentos académicos de instituciones centradas en la seguridad de todo el mundo. Estas vulnerabilidades están en la misma línea que Spectre y Meltdown, al ser fallos de diseño que revelan datos. Zombieload es especialmente preocupante porque afecta a todas las CPU Intel Core y Xeon fabricadas desde 2011.

 

¿Qué es el ataque MDS?

El ataque Microarchitectural Data Sampling (MDS) es el tipo de ataque que puede revelar datos privados rompiendo las fronteras de privacidad entre aplicaciones.

Vea a continuación el vídeo de Igor Seletskiy con información sobre MDS, o desplácese hacia abajo para obtener instrucciones sobre cómo mitigar la vulnerabilidad MDS/Zombieload sin necesidad de reiniciar el sistema.

 

{% video_player "embed_player" overrideable=False, type='scriptV4′, hide_playlist=True, viral_sharing=False, embed_button=False, autoplay=False, hidden_controls=False, loop=False, muted=False, full_width=False, width='2116′, height='1076′, player_id='10326507854′, style=" %}

 

Hay cuatro registros de vulnerabilidad distintos que se combinan para hacer posible un exploit de Zombieload: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 y CVE-2019-11091. Fíjate en los códigos y verás que tres se registraron el año pasado. El problema se ha mantenido en secreto, una práctica conocida como Divulgación Coordinada, para impedir que los "malos actores" exploten las vulnerabilidades antes de que el resto de nosotros podamos defendernos de ellas. Microsoft, Amazon AWS y Google han mitigado el problema en sus centros de datos, formando parte del "círculo íntimo" de empresas que se benefician de la notificación anticipada de este tipo de problemas. Todos los demás tienen que esperar a una actualización de su proveedor de sistemas operativos.

 

¿A qué CPU afecta Zombieload?

Los investigadores detrás del estudio ZombieLoad: Cross-Privilege-Boundary Data Sampling han probado múltiples CPUs Intel y han descubierto que al menos las siguientes CPUs son vulnerables a Zombieload y al resto del paquete de vulnerabilidades MDS:

CPU (escalonada) Arco µ.
Core i7-3630QM (E1) Ivy Bridge
Laboratorio Core i7-6700K (R0) Skylake-S
Laboratorio Core i5-7300U (H0) Kaby Lake
Laboratorio Core i7-7700 (B0) Kaby Lake
Core i7-8650U de laboratorio (Y0) Kaby Lake-R
Laboratorio Core i7-8565U (W0) Lago Whiskey
Laboratorio Core i7-8700K (U0) Café Lago-S
Laboratorio Core i9-9900K (P0) Lago del Café-R
Laboratorio Xeon E5-1630 v4 (R0) Broadwell-EP
Nube Xeon E5-2670 (C2) Sandy Bridge-EP
Nube Xeon Gold 5120 (M0) Skylake-SP
Nube Xeon Platinum 8175M (H0) Skylake-SP
Nube Xeon Gold 5218 (B1) Nube Xeon Gold 5218 (B1)

 

 

Cómo mitigar la vulnerabilidad MDS/Zombieload

Si funciona con hardware:

Para mitigar esta vulnerabilidad, deberás seguir 3 pasos que no requieren reinicio si sigues las siguientes instrucciones:

Paso 1: Actualizar Microcode sin reiniciar

El microcódigo es el código que se ejecuta dentro de la propia CPU y es gestionado por Intel. La actualización del microcódigo se realiza normalmente al reiniciar: se obtiene el nuevo kernel, que tendrá el nuevo microcódigo y cuando el kernel arranque instalará el nuevo microcódigo en la CPU. Puede actualizar el microcódigo sin reiniciar utilizando nuestras instrucciones.

Paso 2. Desactivar Hyperthreading sin reiniciar Desactivar Hyperthreading sin reiniciar el sistema

Si no desactiva el multihilo simultáneo de la CPU (SMT), seguirá teniendo el problema de que el atacante puede leer los datos de la misma CPU. Con KernelCare puede desactivar Hyperthreading sin reiniciar el sistema siguiendo nuestras instrucciones.

Paso 3: Aplicar los parches KernelCare

Incluso si usted ha hecho los pasos 1 y 2, todavía debe actualizar el Kernel de Linux para asegurarse de que el usuario local no puede leer los datos que está ejecutando en la CPU. Con KernelCare puedes hacerlo sin reiniciar. Regístrate para obtener el programa gratuito 7-días de prueba.

Si se ejecuta en una máquina virtual:

Sólo tiene que parchear el Kernel Linux dentro de la máquina virtual. Asegúrese de que su nodo anfitrión también está actualizado, lo que suele hacer su proveedor de servicios.

Si estás usando tu KernelCare - tus parches serán entregados automáticamente por KernelCare y no necesitas hacer nada extra. Si no es así, este es el momento de suscribirte al servicio gratuito 7-días de prueba.

 

KernelCare empezó a probar los parches para MDS el viernes 17 de mayo, y ya están disponibles para las principales distribuciones, a las que pronto seguirán otras. Para conocer las últimas noticias, síguenos en @KernelCare.

Obtenga una prueba GRATUITA de 7 días con soporte de KernelCare 

 

 

Calendario de publicación de parches de vulnerabilidad MDS/Zombieload

Actualizado el lunes 10 de junio

A continuación se muestra el calendario de publicación de parches de KernelCare. Los calendarios de publicación están sujetos a cambios. Consúltelo periódicamente o póngase en contacto con nuestro servicio de asistencia.

Puesta en producción:

  • CentOS 6
  • CentOSPlus para CentOS 6
  • CloudLinux OS 6
  • Debian 8
  • Debian 9
  • Ubuntu 14.04 LTS (Trusty Tahr)
  • Ubuntu 16.04 LTS (Xenial Xerus)
  • Ubuntu 18.04 LTS (Castor Biónico)
  • Oracle Enterprise Linux 6
  • Oracle Enterprise Linux 7
  • Oracle UEK 3
  • Oracle UEK 4
  • Oracle UEK 5
  • OpenVZ
  • Proxmox VE
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Amazon Linux 1
  • Amazon Linux 2

Los parches de la alimentación de producción se aplicarán automáticamente.

Liberado a la alimentación de prueba:

  • CentOS 7
  • CentOSPlus para CentOS 7
  • Cloud Linux 6 híbrido

Para instalar parches de la fuente de prueba, ejecute el comando:

kcarectl --test --update

Cuando estén disponibles las actualizaciones de producción, KernelCare utilizará automáticamente la fuente habitual.

Vencimiento Semana 24:

  • CentOS 7
  • CentOSPlus para CentOS 7
  • CloudLinux OS 7
  • Oracle Enterprise Linux

Más información sobre cómo KernelCare aborda otras vulnerabilidades críticas:

  1. Zombieload 2: ¡El equipo KernelCare está en ello!
  2. SWAPGS: Parches KernelCare en camino
  3. SACK Pánico y Lentitud: Ya están aquí los parches KernelCare Live
  4. RIDL - Otro ataque MDS del que Live Patching le habría salvado
  5. Fallout - el ataque de canal lateral de MDS que no es Zombieload
  6. QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnerability (Vulnerabilidad de fuga de kernel de huésped a host en QEMU-KVM)
  7. Parches CVE-2018-1000199
  8. Vulnerabilidad de Intel DDIO 'NetCat

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín