Reading Time: 6 minutes

Meltdown e Spectre sono delle vulnerabilità alquanto serie che affliggono la maggior parte dei processori esistenti sul mercato, rendendo quindi potenzialmente attaccabili sistemi come personal computer, server, dispositivi mobile, ma anche molti servizi di tipo cloud.

Purtroppo non esiste un modo semplice (e chiaro) per minimizzare l’impatto di questi due bug, anche perché bisogna applicare diverse patch a diversi livelli. Per gli ambienti VMware, come già scritto, esistono diversi tools per controllare la situazione (e anche alcuni tool per applicare le patch richieste).

Considerando che VMware (ma non solo lei) sta un po’ giocando a ping pong con le patch che prima ci sono, poi non ci sono, torna molto comodo questo tool di analisi (distribuito da un anno anche in Italia grazie a Systematika): Runecast Analyzer.

A partire dalla versione 1.6.6 (ora è già alla versione v1.6.8) ha aggiunto il check anche per i problemi Meltdown e Spectre. Ma l’aspetto interessante è che questi controlli sono disponibili nella versione trial gratuita (e limita a 14 giorni).

Un’altro aspetto molto interessante, è che questo strumento è di fatto un virtual appliance che può essere caricato e configurato in pochissimo tempo, come dimostrerò nei prossimi paragrafi. Comodo e veloce.

Pure veloce ad essere scaricato, visto che parliamo di un file di poco più di 1 GB (rispetto ai tre e passa della VCSA!). Ovviamente Runecast Analyzer non si ferma solo all’analisi di questi bug… nella versione trial comunque fornisce molte informazioni interessanti ed utili (benché limitate, visto che non tutto è accessibile senza licenza).

Runecast Analyzer è distribuito sotto forma di singolo file OVA, scaricabile dal loro portale (dopo la registrazione). Il file può essere facilmente caricato su una infrastruttura VMware ed è possibile farlo anche con il nuovo vSphere (HTML5) Client senza alcun problema (alcuni OVF/OVA non si riescono a configurare correttamente con questo client).

Dopo aver scaricato il file, i passi da seguire sono molto semplici e banali. Prima lanciate un “Deploy OVF Template” e selezionate il vostro file OVA (RCapp_OVF10.ova è il nome del file):

A questo punto scegliete un nome per la VM (nell’inventario di VMware), una posizione all’interno di una cartella nella vista VM & Templates, una posizione all’interno della vista Hosts & Cluster (tipicamente un cluster o un resource pool).

A questo punto vi sarà un primo riepilogo:

Poi bisogna accettare la licenza d’uso e scegliere una dimensione per il virtual appliace:

Le dimensioni possibili sono le seguento:

  • Small (pensato per piccoli ambienti fino a 1 vCenter e 10 hosts)
    ▪ 2 vCPU
    ▪ 4 GB RAM
    ▪ 90GB Storage
    ▪ 100Mbit network (1GBit or above recommended)
  • Medium (pensato per ambienti di dimensioni medie, fino a 5 vCenter e 100 hosts)
    ▪ 4 vCPU
    ▪ 8 GB RAM
    ▪ 90GB Storage
    ▪ 100Mbit network (1GBit or above recommended)
  • Large (pensato per ambienti grandi, fino a 15 vCenter e 250 hosts )
    ▪ 8 vCPU
    ▪ 32 GB RAM
    ▪ 90GB Storage
    ▪ 100Mbit network (1GBit or above recommended)

A questo punto è possibile scegliere il datastore di destinazione (e il tipo di provisioning, utilizzando il thick provisioning il virtual disk utilizzerà 90GB di spazio) oltre che un portgroup per collegarlo alla rete (deve poter raggiungere il vCenter Server).

Per finire ci sono i parametri per la customizzazione della parte guest, ma se è un’installazione trial e se avete un DHCP server, è possibile lasciare tutto bianco in autoconfigurazione:

Dopo qualche minuto la VA è caricata e pronta per essere accesa. Notare che le VMware Tools (guest managed) sono installate e quindi, se usate il DHCP, è possibile vedere subito quale IP dovrà essere utilizzato (ma è possibile vederlo anche dalla console):

Da qui in poi, il resto è gestibile da un browser, puntanto direttamente sulla pagina: https://Runecast_VA_IP

Le credenziali di default sono documentate nella guida d’uso:

  • user: rcuser
  • password: Runecast!

La configurazione è altrettanto veloce e semplcie. Si parte dall’aggiunta del vCenter Server (tramite IP o name):

Notare che Runecast supporta vSphere in versione 5.x o 6.x, ma per Meltdown e Spectre ha senso analizzare solo versione 5.5 o successive (non ci sono patch per la versione 5.0 e 5.1). Inoltre con la versione 6.x di vSphere è possibile avere un’integrazione con il vSphere Web Client, che comunque non è necessaria per fare questa analis.

Ora su può finalmente far partire lo scan dell’infrastruttura che ci impiegherà pochi minuti (un paio per ambienti piccoli):

L’analisi Meltdown e Spectre è disponibile sotto la voce “KBs discovered” e, nel caso di sistemi affetti, dovreste vedere qualcosa di simile:

In meno di 15 minuti avete un’analisi semplice e veloce della vostra infrastruttura!

Il report vi fornirà un dettaglio dei passi da compiere per sistemare il problema. Ma notate che si ferma solo all’analisi di ESXi e vCenter, non entra nel merito dello stato del BIOS del server fisico o dello stato delle diverse VM.

Vedere anche (in inglese):

Share