Vulnérabilité Downfall (Gather Data Sampling) sur les processeurs Intel (CVE-2022-40982)
Certaines informations contenues dans ce billet de blog proviennent d'un avis de avis de Red Hatdu document technique Gather Data Sampling d'Intel, et Avis de sécurité d'Intel INTEL-SA-00828.
Une vulnérabilité appelée Gather Data Sampling (GDS), également connue sous le nom de "Downfall", peut entraîner l'exposition de données périmées et peut affecter les clients utilisant certains processeurs Intel - en particulier ceux qui utilisent Intel Advanced Vector Extensions 2 (Intel AVX2) et Intel Advanced Vector Extensions 512 (Intel AVX-512). Veuillez lire cet article de blog pour en savoir plus sur cette faille de sécurité et sur la manière d'y remédier, et n'oubliez pas de consulter les mises à jour.
L'état actuel de l'échantillonnage des données collectées (GDS)
Cette vulnérabilité de canal latéral d'exécution transitoire dans certains processeurs Intel peut permettre à un attaquant d'utiliser une attaque d'échantillonnage de données pour récupérer des données périmées à partir de registres vectoriels AVX2 ou AVX-512 précédemment utilisés. Dans le pire des cas, une attaque peut être utilisée pour extraire des clés cryptographiques.
Selon Red Hat, la vulnérabilité Downfall peut être atténuée en installant un microcode CPU mis à jour. Cette mise à jour du microcode sera disponible dans une prochaine version du paquetage microcode_ctl.
Intel a également publié un document technique sur l'échantillonnage des données (Gather Data Sampling Technical Paper) et un avis de sécurité (Intel Security Advisory). l'avis de sécurité d'Intel INTEL-SA-00828.
Quels sont les risques ?
Enregistrée sous le nom de CVE-2022-40982, la vulnérabilité GDS, ou Downfall, peut permettre l'exposition de données périmées provenant de l'utilisation précédente de registres vectoriels en raison de l'optimisation matérielle du processeur. La menace est limitée au même cœur de processeur physique et affecte les données traitées par des instructions utilisant des instructions AVX ou des registres vectoriels internes de manière implicite.
L'exposition est limitée à un échantillonnage et ne permet pas directement à un attaquant de contrôler ou de spécifier la source des données périmées.
En raison de la nature des ressources partagées des systèmes basés sur la virtualisation, où plusieurs machines virtuelles peuvent être assignées aux mêmes cœurs de CPU, il est possible d'exfiltrer des informations contenues dans différents contextes de sécurité (c'est-à-dire d'autres machines virtuelles ou même l'hôte) en exploitant cette vulnérabilité.
L'impact de la vulnérabilité de la chute sur les performances
L'impact de l'atténuation du microcode sur les performances est limité aux applications utilisant les instructions de rassemblement fournies par AVX2 et AVX-512, ainsi que l'instruction CLWB. L'impact réel sur les performances dépendra de l'importance de l'utilisation de ces instructions par une application. Les tests de Red Hat ont montré un ralentissement significatif dans les microbenchmarks les plus défavorables, mais seulement un faible pourcentage à un chiffre dans des applications plus réalistes.
Solution actuelle
Que pouvez-vous donc faire dès maintenant pour protéger vos systèmes de la vulnérabilité GDS, alias Downfall ?
Installer la mise à jour du microcode: Vérifiez la disponibilité du correctif en consultant la page CVE. L'atténuation est activée par défaut sur les processeurs concernés après l'installation du microcode, quelle que soit la version du noyau utilisée.
Lire ici comment effectuer cette opération sur un système en fonctionnement.
Mise à jour du noyau: Cette mise à jour ajoute des rapports sur l'état des vulnérabilités et des mesures d'atténuation, ainsi que la possibilité de désactiver ces mesures. La correction du problème de sécurité potentiel est assurée par la mise à jour du microcode elle-même, et non par le correctif du noyau.
Désactiver l'atténuation (facultatif): Les utilisateurs peuvent décider de désactiver l'atténuation après l'analyse des risques en ajoutant gather_data_sampling=off à la ligne de commande du noyau ou en utilisant mitigations=off.
Remarque : la perte de performance du CLWB est permanente sur les architectures Skylake, même si l'atténuation est supprimée ultérieurement.
Étapes du diagnostic
Après avoir appliqué les mises à jour du microcode et du noyau, vous pouvez vérifier l'état de l'atténuation en exécutant l'une des commandes suivantes :
# dmesg | grep "GDS: "
[ 0.162571] GDS: Mitigation: Microcode
# cat /sys/devices/system/cpu/vulnerabilities/gather_data_sampling
Mitigation: Microcode
Nous mettrons à jour ce billet de blog au fur et à mesure que de nouvelles informations pertinentes seront découvertes sur cette vulnérabilité. Si vous êtes un utilisateur de KernelCare Enterprise, suivez notre documentation sur la façon de mettre à jour le microcode pour la distribution Linux que vous utilisez. Restez vigilant et mettez à jour vos systèmes pour rester protégé.