Meltdown e Spectre sono delle vulnerabilità alquanto serie che affliggono la maggior parte dei processori esistenti sul mercato, rendendo quindi potenzialmente attaccabili sistemi come personal computer, server, dispositivi mobile, ma anche molti servizi di tipo cloud.
Al momento, l’unico modo per minimizzare l’effeto di questi problemi è aggiornare sia i sistemi operativi che gli eventuali hypervisor. In realtà stanno arrivando anche i primi microcode (aggiornamenti del firmware delle CPU) da parte di alcuni hardware vendor.
Per quanto riguarda VMware, si tratta di applicare delle opportune patch a vSphere, sia nella parte ESXi che nella parte vCenter. Ovviamente il tutto va riportato per i diversi tipi di hypervisor di VMware e quindi anche Workstation, Player e Fusion.
Maggiori dettagli sono forniti nei seguenti bollettini:
- VMSA-2018-0002.3 – VMware ESXi, Workstation and Fusion updates address side-channel analysis due to speculative execution
- VMSA-2018-0004.2 – VMware vSphere, Workstation and Fusion updates add Hypervisor-Assisted Guest Remediation for speculative execution issue – Notare che in questo caso ci sono state diverse modifiche nel corso nelle prime settimane, con alcune patch ritirate!
- VMSA-2018-0007 – VMware Virtual Appliance updates address side-channel analysis due to speculative execution
Dopo un periodo di confusione iniziale, VMware ha deciso di raggruppare tutte le informazioni in una unica pagina: KB 52245 (VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown)).
Al momento però non c’è un semplice tool VMware che ci mostri se i processori sono affetti dal problema e quali patch devono essere applicate. C’è VUM, ma paradossalmente l’Update Manager classifica alcune di queste patch come “non critiche” (nei giorni successivi questo comportamento è stato corretto, poiché le patch “opzionali” possono causare problemi su alcuni modelli di processori). Incominciano ad esserci i primi tool di terze parti che invece possono aiutare in questo compito, come ad esempio Runecast Analyzer (a tale proposito vedere questo post).
In realtà è stato poi sviluppato un comodo script in PowerCLI per verificare i vostri sistemi, per maggiori in informazioni vedere il post: Meltdown and Spectre: check a vSphere environment.
Secondo VMware i problemi ai quali gli hypervisor sono affetti sono solo le due varianti Spectre:
- Bounds-Check Bypass (CVE-2017-5753)
- Branch Target Injection (CVE-2017-5715)
Per quanto riguarda il problema di tipo Rogue Data Cache Load (CVE-2017-5754), VMware sostiene (al momento) che non affligge gli hypervisor poiché già hanno delle protezioni per ovviare questo possibile problema.
Le patch rilasciate da VMware ricadono, al momento, in due categorie diverse:
- Hypervisor-Specific Remediation (documented in VMSA-2018-0002.3)
- Hypervisor-Assisted Guest Remediation (documented in VMSA-2018-0004.2)
- Operating System-Specific Mitigations
Prodotti VMware
- VMware vSphere ESXi (ESXi) e vCenter Server
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- VMware Virtual Appliances
- VMware Photon OS
- VMware based cloud services
Patch da applicare
- VMware vSphere 6.5: for ESXi apply patches ESXi650-201712101-SG (released on Dec, 19th 2017), ESXi650-201801401-BG,
ESXi650-201801402-BG; for vCenter Server (and PSC) upgrade to version 6.5 U1e - VMware vSphere 6.0: for ESXi apply patches ESXi600-201711101-SG and ESXi600-201801401-BG,
ESXi600-201801402-BG; for vCenter Server (and PSC) upgrade to version 6.0 U3d - VMware vSphere 5.5: for ESXi apply patches ESXi550-201709101-SG (this patch has remediation against CVE-2017-5715 but not against CVE-2017-5753) and
ESXi550-201801401-BG; for vCenter Server (and PSC) upgrade to version 5.5 U3g - VMware Workstation 14: update to version 14.1.1
- VMware Workstation 12.x: update to version 12.5.9
- VMware Fusion 10: update to version 10.1.1
- VMware Fusion 8: update to version 8.5.10
- VMware Photon OS: vedere Photon OS Security Advisories.
Prima di applicare le patch è però opportuno controllare la VMware KB 52345 poichè alcuni processori Intel Haswell and Broadwell potrebbero non gradire il microcode fornito da VMware (ESXi650-201801402-BG, ESXi600-201801402-BG, and ESXi550-201801401-BG).
Viene anche consigliato di usare il virtual hardware versione 9 o superiore (questa parte è obbligatoria, altrimenti le VM non saranno protette adeguatamente). Anzi, per prestazioni migliori, è consigliato il virtual hardware 11 (che però è compatibile solo da vSphere 6.0 in poi).
Notare inoltre che per tutte le VM, per poter utilizzare la protezione a livello di hypervisor (ovviamente dopo che è stata applicata a livello di ESXi), queste vanno spente e riaccese (il reboot o reset non basta!).
Notare che mancano diverse versioni di vSphere (ad esempio la 5.0 o 5.1) non perché non siano affette dal problema, ma perché non sono più supportate! Stesso dicasi per versioni precedenti di Workstation e Fusion.
Per quanto riguarda il servizio VMware Cloud on AWS, VMware indica di aver applicato le prime patch già a dicembre 2017.
Ovviamente le patch a livello hardware (se esistenti) e di hypervisor non bastano. Vanno poi applicate patch anche a livello di VM. Per quanto riguarda i virtual appliance è un po’ più complicato visto che spesso sono a scatola chiusa (uno dei vantaggi, ma anche svantaggi). Per quelli di VMware, ad oggi (gennaio 12), sono considerati affetti:
- VMware Identity Manager (Workaround KB 52284)
- VMware vCenter Server 6.5 (Workaround KB 52312)
- VMware vCenter Server 6.0 (Workaround KB 52312)
- VMware vSphere Integrated Containers
- VMware vRealize Automation
Mentre, se l’hypervisor è stato patchato con CVE-2017-5753 e CVE-2017-5715, allora questi appliance dovrebbero essere “safe”:
- vCloud Availability for vCloud Director
- VMware Horizon DaaS Platform
- VMware Integrated OpenStack
- VMware Mirage
- VMware NSX for vSphere
- VMware Skyline Appliance
- VMware Unified Access Gateway
- VMware vCenter Server 5.5
- VMware vRealize Log Insight
- VMware vRealize Network Insight
- VMware vRealize Operations
- VMware vRealize Orchestrator
- VMware vSphere Replication
- VMware Workspace Portal
Bisogna anche ricordasi del sistema operativo VMware Photon OS, basato su Linux e utilizzabile anche su sistemi bare-metal. Vi sono diverse patch da applicare come documentato da Photon OS Security Advisories.PHSA-2018-1.0-0097
Degrado delle prestazioni
Al momento è difficile dire che tipo di degrado ci sarà, anche perché dipende dal tipo di workload. RedHat, una delle prima a misurarlo sui sui sistemi, ha valutato un degrato intorno alla 5%-20%.
Ma VMware non fornisce numeri precisi, benché nella community c’è chi ha iniziato a fare alcuni test. Ad esempio: VMware Performance Impact of Meltdown and Spectre Patches
Rimane però prematuro trarre conclusioni, anche perché non è detto che sia tutto finito con queste patch e che non ne servano altre a breve.
Maggiori informazioni
- VMware KB 52245 – VMware Response to Speculative Execution security issues, CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown)
- VMware KB 52264 – VMware Virtual Appliances and CVE-2017-5753, CVE-2017-5715 (Spectre), CVE-2017-5754 (Meltdown)
- VMware KB 52085 – Hypervisor-Assisted Guest Mitigation for branch target injection
- VMware KB 52345 – Intel Sightings in ESXi Bundled Microcode Patches for VMSA-2018-0004