26.3.2024

Najnovšia zraniteľnosť procesora Intel - mali by sme sa báť Spoilera?

Čerstvo objavená zraniteľnosť  procesorov nazvaná Spoiler je ďalším problémom, ktorý sa nachádza v mikroprocesoroch Intel. V našom blogu o D2000 a IoT sme už spomenuli zraniteľnosti Spectre a Meltdown. Všetky tieto chyby sú spojené so špekulatívnym vykonávaním inštrukcií.

Zraniteľnosť Spoiler sa zameriava na oblasť procesora, ktorá sa nazýva Memory Order Buffer, ktorá sa používa na riadenie pamäťových operácií a je úzko spojená s vyrovnávacou pamäťou. Útočník môže získať heslá, kľúče a iné údaje z častí pamäte, ktoré mali byť mimo priestoru užívateľskej pamäte.

 

Aká významná je táto zraniteľnosť v priemyselných riadiacich systémoch a ako ovplyvňujú D2000?

 

Najskôr dobrá správa pre používateľov D2000 pre Raspberry PI: keďže procesory ARM používané v rôznych generáciách Raspberry PI nepoužívajú špekulatívne vykonávanie inštrukcií na zvýšenie výkonu, sú voči takýmto zraniteľnostiam odolné.

Systémy používajúce verzie D2000 pre systémy Linux alebo Windows sú však v zložitejšej pozícii. Ak používajú procesory AMD, sú ohrozené Spectre a Meltdown, ale nie zraniteľnosťou Spoiler. Ak používajú procesory Intel, sú ohrozené všetkými tromi chyby.

 

Aby sa však tieto zraniteľnosti mohli zneužiť, je potrebné najprv získať prístup k počítačovému systému. Možné scenáre zahŕňajú spustenie škodlivého softvéru alebo dokonca návštevu webovej stránky a spustenie škodlivého kódu JavaScript v prehliadači.

 

Štandardne je SCADA/MES server prevádzkovaný v bezpečnom prostredí. Zvyčajne (aspoň podľa našich skúseností) bez prístupu k World Wide Webu - alebo je prístup obmedzený na niekoľko dôveryhodných stránok pomocou webového proxy servera. Jedinými používateľmi, ktorí môžu pristupovať k serveru, sú administrátori systému a aplikácií. Riziko, že stiahnu a spustia malware, sa preto zdá byť dosť nízke - a môže sa ešte viac znížiť ich správnym vzdelávaním! (To je niečo, čo robíte, však?)

 

Samozrejme, vyššie uvedené scenáre útoku nie sú jediné, ktoré si dokážete predstaviť. Nezaplátaná zraniteľnosť v operačnom systéme môže slúžiť ako vstupný bod pre malware, ktorý potom môže využívať existujúce chyby zabezpečenia CPU na odcudzenie citlivých údajov.

 

Predpokladáme však, že vaše servery žijú v chránenej sieti, oddelenej od menej bezpečných segmentov siete firewallom a že sú pravidelne aktualizované. Sú, že?

 

Pravidelné patchovanie zmierňuje riziko zneužitia známej zraniteľnosti (aj keď vždy existuje šanca, že škodlivý softvér využije neznámu zero-day zraniteľnosť) a oddelenie siete pomocou firewallu bráni škodlivému softvéru odosielať citlivé údaje preč. Nuž, toto je pravda, ak je firewall nakonfigurovaný s použitím "default deny" politiky aj pre internú a dôveryhodnú sieť - mal by povoliť iba sadu preddefinovaných dátových tokov a štandardne zakázať čokoľvek iné.

 

Aj keď sa snažím nepodceňovať riziko týchto zraniteľností CPU, zdá sa mi, že sú oveľa nebezpečnejšie pre počítače bežných používateľov ako pre zabezpečené servery SCADA a MES.

 

Čo sa týka serverov - viac by som sa obával zraniteľnosti rôznych manažment technológií procesora x64 (napr. INTEL-SA-00075 alebo INTEL-SA-00086). Ale to je téma pre iný blog.

 

22.3.2019, Ing. Peter Humaj, www.ipesoft.com

  

Iné blogy