Un fallo de diseño en la mayoría de procesadores modernos (Intel, AMD y Arm) permite a atacantes potenciales leer áreas de la memoria del sistema que no deberían ser accesibles. Seguramente, ya has oído y leído mucho sobre Meltdown y Spectre. Tal vez incluso has actualizado tu ordenador por si acaso. Pero ¿qué pasa con tu infraestructura Cloud? ¿Debes preocuparte por Meltdown y Spectre en el Cloud?

Si tus plataformas críticas están en uno de los proveedores de Cloud líderes (Amazon Web Services, Google Cloud Platform, Microsoft Azure), tal vez quieras solucionar estas vulnerabilidades y asegurar el rendimiento de tu plataforma. Esto es lo que hacemos a diario, así que aquí vamos a comentar cómo ayudamos a nuestros clientes a asegurar su infraestructura ante estas vulnerabilidades.

Meltdown and Spectre in the Cloud - CAPSiDE

Qué son Meltdown and Spectre

Estamos ante el que podría ser el problema de seguridad más extendido de la historia de la computación moderna hasta ahora. Esta clase de ataques consisten en 3 vulnerabilidades con nombres clave: Meltdown (CVE-2017-5754), Spectre Variant 1 (CVE-2017-5753) y Spectre Variant 2 (CVE-2017-5715). No existe ninguna solución única o sencilla para las tres.

Los detalles técnicos son complejos, pero la clave está en el concepto “ejecución especulativa”. Esto quiere decir que,

para mejorar el rendimiento, la CPU puede tratar de adivinar y ejecutar instrucciones antes de saber si deben ejecutarse o no.

Esto puede llevar a la fuga de información sensible que debería mantenerse en secreto como contraseñas, claves privadas, etc. El principal requisito: ser capaz de ejecutar código especialmente diseñado para ello en el sistema objetivo.

Obviamente, el impacto es masivo. Afecta directamente a la arquitectura de la CPU y a la gestión de memoria de dispositivos de todo tipo en todo el mundo, desde teléfonos inteligentes y tabletas electrónicas a servidores corporativos, sin tener en cuenta el sistema operativo.

Meltdown y Spectre en el Cloud

El Cloud público es un entorno en el que los recursos se comparten entre varios clientes. Por ello, estas vulnerabilidades implican que algunos invitados podrían profundizar en la memoria física del servidor subyacente, obteniendo información de otros clientes.

El incidente se ha gestionado siguiendo las buenas prácticas de la industria con una revelación responsable. Por ello, la vulnerabilidad se ha hecho pública después de un periodo de tiempo que ha permitido el desarrollo de parches para gestionar la vulnerabilidad. Las empresas de sistemas operativos, hardware y Cloud firmaron un documento NDA y acordaron una fecha de divulgación pública: el 9 de enero.

Los proveedores de Cloud planearon acciones de mantenimiento en sus infraestructuras y pidieron a sus clientes que reiniciaran ciertos recursos. Desafortunadamente, la divulgación del fallo antes de tiempo les ha hecho acelerar este proceso. Para garantizar la seguridad de sus clientes, algunas de las acciones pendientes han tenido que forzarse, causando algunas alteraciones.

Existen dos vectores de ataque:

El primer vector de ataque (basado en infraestructura), se ha eliminado con los primeros parches realizados por los principales proveedores de Cloud.

Meltdown and Spectre in the Cloud - CAPSiDE

Las soluciones

Evitar el segundo vector de ataque (intra-guest) requiere que los clientes de infraestructuras Cloud apliquen actualizaciones de sistemas operativos y firmware siempre que se lancen nuevas actualizaciones. Esto también requiere reiniciar un número significativo de instancias.

Las reparaciones también implican cambios en la gestión de memoria de kernel. Esto puede afectar al rendimiento de CPU entre un 5 y un 30%, según muestran los últimos datos. La variación de esta ralentización depende de diversos factores como la tasa de llamadas de sistema.

Sin embargo, se espera que los ataques de tipo Spectre Variant 1 no obtengan un parche. Afortunadamente, son muy difíciles de explotar y, como hemos comentado antes, no hay manera de explotar estas vulnerabilidades sin acceder primero a las instancias de invitado y ejecutar en ellas código malicioso.

Dada la naturaleza de estas correcciones, algunos informes muestran problemas de compatibilidad con antivirus que requieren una solución manual. Además, otros problemas acaban mostrando la terrible Pantalla Azul de la Muerte (BSOD). Sabiendo esto, es una buena idea crear puntos de restauración de Windows y tomar instantáneas por si es necesario realizar un rollback.

Mientras, tan sólo se debería instalar software y visitar páginas web de confianza. Los sitios aparentemente inofensivos podrían aprovecharse de la situación ejecutando código JavaScript. Los principales navegadores web ya están trabajando en mejorar sus defensas.

¿Cómo puede ayudar CAPSiDE?

Nos enorgullecemos de tener la confianza de nuestros clientes para proteger sus plataformas Cloud, y nos tomamos esta responsabilidad seriamente.

Como compañeros de referencia en el Cloud, hemos guiado a muchos de nuestros clientes en su transformación digital. También les hemos ayudado a implementar plataformas a prueba de balas, a adoptar buenas prácticas en términos de disponibilidad, seguridad y conformidad. No es de extrañar que seamos partners de los tres proveedores líderes en Cloud público: AWS, GCP y Azure.

Contar con una estrategia Cloud completa y una plataforma capaz de escalar y adaptarse a estas situaciones inesperadas es crucial para el éxito de nuestros clientes. Tan pronto como conocimos las próximas acciones de mantenimiento, nos coordinamos con nuestros clientes para programar los siguientes pasos, minimizar el impacto y trabajar en las soluciones cuando fuera necesario.

De hecho, ya parcheamos mensualmente las plataformas de nuestros clientes. Algunas instancias incluso tienen un proceso más rápido para poder aplicar nuevos parches en cuanto están disponibles. Ahora nos centramos en las correcciones de las vulnerabilidades Meltdown y Spectre, ¡sabemos cómo hacerlo!

Nuestro sistema de monitorización detectará rápidamente cualquier impacto en el rendimiento de la infraestructura u cualquier otro problema que pueda resultar de estas actualizaciones. Después, nuestro equipo tomará las acciones necesarias para asegurar que las infraestructuras de nuestros clientes tienen el rendimiento necesario.

Si eres uno de nuestros clientes y aún tienes dudas, por favor contacta con nuestro equipo de soporte. ¡Estaremos encantados de ayudarte!

TAGS: aws, azure, GCP, meltdown, spectre, vulnerabilidad

speech-bubble-13-icon Created with Sketch.
Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*
*