English

Belépés


Információk a Meltdown és Spectre sérülékenységek javításáról

Az adatvédelmi megoldások sikerének és az adatszivárgás megelőzésének legnagyobb kihívása, hogy a felkészüljünk a rajtunk kívül álló hardveres és/vagy szoftveres hibákból eredő események kezelésére. Az elmúlt két hétben az egyik legnagyobb horderejű témává nőtte ki magát a Meltdown és a Spectre sérülékenység. Szinte minden informatikai eszköz igen széles körben érintett, és súlyossága, következménye pedig az egész iparágra nagy hatással van.

 

A modern mikroprocesszorok spekulatív végrehajtás algoritmusának hardveres implementációját érintően sérülékenységek (Meltdown és Spectre) váltak ismertté, melyeket kihasználva egy felhasználó ún. mellékcsatornás támadásokat (side channel attacks) hajthat végre és jogosulatlanul érzékeny adatokhoz férhet hozzá.  Ezek a biztonsági rések lehetővé tehetik a támadók számára, hogy olyan privilegizált memóriát olvassanak, amely érzékeny információkat tartalmazhatnak, például jelszavakat vagy titkosítási kulcsokat. 1

Meltdown és Spectre egyaránt előfordul a személyi számítógépeken, mobileszközökön és a felhőben. A felhő szolgáltató infrastruktúrájától függően előfordulhat, hogy más ügyfelektől ellophatják az adatokat.2

A gyártók folyamatosan frissítik a témában az oldalaikat, egyre több az elérhető információ: dokumentumok, összefoglalók, ajánlások, javítások. Az alábbiakban csokorba gyűjtöttük nagyobb gyártóink érintettségét és ajánlásait a probléma kezelésére, a megjelent a biztonsági frissítéseket.

 

Majdnem minden modern processzor, beleértve a legtöbb Juniper terméket is, spekulatív végrehajtást használ és potenciálisan érzékeny az ilyen típusú támadásokra. 3

A Junos OS-t futtató termékek csak a Juniper által aláírt kódot képesek végrehajtani. Ez biztosítja, hogy csak a Juniper által aláírt kódot lehet végrehajtani az eszközön. A Junos OS shell-ben kiadott alábbi paranccsal ellenőrizhető, hogy a kódfuttatás vizsgálata aktív-e:

root@:RE:0% sysctl security.mac.veriexec.state

ha a veriexec érvényesítésre kerül, akkor a kimenet:

security.mac.veriexec.state: loaded active enforce

root@:RE:0%

Azokon a platformokon, ahol a veriexec nem érvényesíthető, minimalizáljuk azon felhasználók körét, akik rendelkeznek kód betöltési- illetve futtatási jogosultsággal.

Az alábbi termékek tartalmazhatnak érintett mikroprocesszorokat, ezáltal - a fenti beállításoktól függően – az ezeken futó hálózati operációs rendszerek érzékenyek lehetnek az új sérülékenységre:

Junos OS alapú platformok

Junos Space készülék

Qfabric Director

CTP sorozat

NSMXpress / NSM3000 / NSM4000 appliance

STRM / Juniper Secure Analytics (JSA) készülékek

SRC / C sorozat

Contrail amennyiben Ubuntu Linux operációs rendszeren fut

A fentiekre javasoljuk az új szoftververziók mielőbbi letöltését és telepítését.

A következő termékek nincsenek kitéve lehetséges támadásnak:

ScreenOS / Netscreen platformok

JUNOSe / E sorozatú platformok

BTI platformok

Cyphort készülék

SRX100 sorozat / SRX200 sorozat / SRX300 sorozat / SRX550 / SRX650

CBA sorozatú vezeték nélküli WAN Bridge

A témában folyamatosan frissülő információt találhat a gyártó weboldalán itt: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10842&pmv=print&actp=RSS&searchid=&type=currentpaging

 

Az Extreme termékek számos különböző processzor-architektúrát használnak, melyek közül csupán néhány tartalmazza a Spectre sérülékenységet. Azon Extreme termékek, amelyek nem nyújtanak mechanizmust a harmadik fél kódjának végrehajtására, nincsenek kitéve a Spectre sérülékenységnek, feltéve, hogy más jogosulatlan eszközöket nem használnak arra, hogy privilegizált hozzáférést kapjanak a rendszerhez a kód telepítéséhez. 4

A virtuális környezetben telepített extrém termékek ki vannak téve a Spectre-nek, amennyiben a kiszolgáló környezet sérülékeny.

Meltdown különös tekintettel az Extreme portfolióra:
https://extremeportal.force.com/ExtrArticleDetail?n=000018944

Spectre különös tekintettel az Extreme portfolióra:
https://extremeportal.force.com/ExtrArticleDetail?n=000018943

A témában folyamatosan frissülő információt találhat a gyártó weboldalán itt:
https://extremeportal.force.com/ExtrSupportHome

 

A következő termékekben lévő processzorok érintettek lehetnek Meltdown/Spectre sérülékenység kapcsán:

FortiOS

FortiAP 

FortiSwitch

FortiAnalyzer

Ellenben, ez korántsem jelenti azt, hogy a sérülékenység ezeknél a termékeknél kihasználható. 

Magyarázat: Az alábbi Fortinet termékek úgy vannak megtervezve, hogy ne engedjék a tetszőleges kódvégrehajtást a felhasználói felületen:

FortiOS FortiManager FortiAuthenticator
FortiAnalyzer FortiMail FortiVoice
FortiSwitch FortiWeb FortiRecorder
FortiAP FortiPortal AscenLink

Ilyen jellegű támadás Fortinet termékek esetén csak akkor lehetséges, ha ez kombinálódik egy helyi vagy távoli kódfuttatási sérülékenységgel.

Bár a FortiGuard alacsony kockázatú hibának sorolta be a FortiNET termékekre vonatkozóan a sérülékenységet, azonban a probléma – jellegének megfelelően- Magas/Kritikus súlyosságú hibaként van kezelve. Ezért jelen helyzetben kiemelt figyelmet kapnak azon hibák kutatásai, melyek a helyi, - vagy távoli kód futtatását lehetővé tehetik FortiNET termékeken.

Jelenleg is folyik a PSIRT* csapat vizsgálata a Spectre/MeltDown sérülékenységeknek a termékek érintettsége kapcsán és a FortiNET felméri a hibajavítási lépéseket azon termékeknél, ahol az érintettség kimutatható. 

A Meltdown / Spectre támadási kockázatának csökkentése érdekében javasolt a nyilvánosan elérhető, legfrissebb szoftver verzió használata a Fortinet termékein annak érdekében, hogy kártékony kód futtatása ezeken a termékeken ne legyen lehetséges. 5**

FortiClient

A FortiNet mérnökei letesztelték és 2018. január 8-tól elérhetővé tették a FortiClient végpontvédelmi megoldás 5.6.4-es és 5.4.5-ös verziójú kiadását, amelyek telepítik azt a registry bejegyzést, amely az AV szoftver kompatibilitását jelzi az operációs rendszernek. Ennek hiányában az operációs rendszer automatikus frissítő szolgáltatása nem jelzi a frissítés meglétét és rendszereink továbbra is sebezhetők maradnak.

A Fortinet FortiClient 5.6.4 (Windows) Release Notes elérhető itt: https://docs.fortinet.com/d/forticlient-5.6.4-windows-release-notes

Régebbi FortiClient verziók esetén az alábbi cikk alapján járjon el: http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD40946

VMware frissítés

Azt tanácsoljuk ügyfeleinknek, akik Fortinet VM-et VMware környezetben futtatnak, telepítsék az alábbi frissítéseket:  

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html  és

https://www.vmware.com/us/security/advisories/VMSA-2018-0004.html

melyek javítják a CVE-2017-5753, CVE-2017-5715 részletezett hibákat.

Frissítés a FortiNET termékek hibajavításai kapcsán (Patching Plan)

A biztonsági mérnökök kiemelt prioritással dolgoznak további, a sérülékenységet kiküszöbölő fejlesztéseken.

Mivel a hiba hardver alapú, a legközelebbi felettes rétegben, a kernelben szükséges olyan módosításokat / javításokat eszközölni, amik biztosítják, hogy a processzor ne használja a sérülékeny technológiákat.

Azonban ezen technológiák elhagyása jelentős CPU teljesítmény csökkenést okoz, ami érintheti majd a termékek teljesítmény mutatóit is, ezért ezt nagy körültekintéssel és tesztelés mellett kell elvégezni.

Amennyiben a problémával kapcsolatos javítások bekerülnek a későbbi frissítésekbe/verziókba, az a kiadási jegyzetben (release notes) és a folyamatosan frissülő Advisory oldalon is publikálásra kerül ***

* A FortiGuard Labs PSIRT (Product Security Incident Response Team) csapata folyamatosan teszteli a Fortinet hardver- és szoftvertermékeit, sebezhetőségeket és gyengeségeket keresve bennük. A találatokat jelzik a Fortinet fejlesztői csapatának és a komoly problémák ismertetése már a javasolt védelmi megoldásokkal együtt történik.

** A legújabb szoftverfrissítések, terméknév és verziószám bontásban elérhetők az alábbi linken:  https://support.fortinet.com/    (a hozzáféréshez gyártói támogatással  rendelkező eszközhöz kapcsolt felhasználói fiók szükséges)

*** PSIRT Advisory információja a sérülékenységekről itt olvasható:  https://fortiguard.com/psirt/FG-IR-18-002

 

A McAfee termékeit közvetlenül nem érinti a két sérülékenység. 6

A McAfee folyamatosan teszteli termékeinek kompatibilitását a "Spectre" és a "Meltdown" kapcsán kiadott operációs rendszerek javításaival.

A Microsoft felkérte a biztonsági termékek és megoldásokat szállítókat, hogy végezzenek további tesztelést a január 3-i frissítéssel annak érdekében, hogy biztosítsák a frissítéssel való kompatibilitást. A probléma elkerülése érdekében a Windows Update csak abban az esetben engedi telepíteni a hibajavítást, amennyiben az adott rendszeren megtalálható egy registry bejegyzés, amely az AV szoftver kompatibilitását jelzi, ellenkező esetben meg sem jelenik a frissítési opció.

Az alábbi oldalon megtekinthető, hogy mely McAfee termékek kompatibilisek a Microsoft/MacOS/Linux operációs rendszerekkel.

https://kc.mcafee.com/corporate/index?page=content&id=KB90167

Ez a lista további változatokkal és termékekkel frissül, mivel a kompatibilitási teszt folytatódik.

Nem érintett termékek: 
Cloud Services for McAfee and Skyhigh illetve Appliance Compatibility for McAfee termékek.

A témában folyamatosan frissülő információt találhat a gyártó weboldalán itt: https://support.mcafee.com/ServicePortal/faces/knowledgecenter?_adf.ctrl-state=z6708dls0_5&lang=en-GB&_afrLoop=31620170872000#!

 

Felhasznált források:

1   Kormányzati Eseménykezelő Központ
2   Meltdown and Spectre
3   Juniper InfoCenter
4   Extrem Support
5   FortiGuard Labs PSIRT Advisory
6   McAfee Knowledge Center