Vários fornecedores de nuvem e hardware emitiram avisos de segurança em resposta à vulnerabilidade na CPU da Intel recentemente divulgada chamada Downfall. Descoberta pelos pesquisadores do Google e rastreada como CVE-2022-40982, o Downfall é um método de ataque de canal lateral que permite que um invasor — ou um malware —obtenha informações confidenciais, como senhas e chaves de criptografia do dispositivo atacado.
Os ambientes de nuvem também são afetados e podem ser alvos de ataques remotos por meio de um navegador web, mas são necessárias mais pesquisas para demonstrar essa possibilidade de ataque.
Os processadores Intel Core e Xeon lançados na última década são afetados. A fabricante de chips está lançando atualizações de firmware, bem como mitigações, em resposta à vulnerabilidade. A falha afeta os recursos de otimização de memória nos processadores da empresa e o ataque utiliza duas técnicas chamadas Gather Data Sampling (GDS) e Gather Value Injection (GVI).
O método GDS foi descrito como “altamente prático” e os pesquisadores do Google criaram uma exploração de prova de conceito (PoC) que pode roubar chaves de criptografia do OpenSSL.
Várias fornecedores de organizações lançaram alertas em resposta à vulnerabilidade Downfall desde sua divulgação no dia 8 deste mês.
A comunidade que administra o projeto OpenSSL fez uma postagem no blog esta semana apontando que, embora o ataque Downfall tenha sido demonstrado contra o OpenSSL, é “um ataque de canal lateral de microarquitetura altamente geral que pode comprometer a segurança de praticamente qualquer software”.
“Como o OpenSSL fornece implementações aceleradas de muitos primitivos criptográficos usando instruções x86 SIMD, se um invasor executar um ataque usando essa vulnerabilidade em um processo que executa operações criptográficas usando OpenSSL, há um risco elevado de que as informações que eles podem extrair incluam chave criptográfica material ou textos simples, pois é provável que esse material tenha sido processado recentemente no processo da vítima usando instruções SIMD. Em outras palavras, o risco para o material de chave ou outro material criptográfico é particularmente alto”, explicaram os administradores do projeto OpenSSL.
AWS, Microsoft Azure, Google Cloud
A AWS disse que os dados de seus clientes e as instâncias de nuvem não são afetados pelo Downfall e nenhuma ação é necessária. A gigante da nuvem observou que “projetou e implementou sua infraestrutura com proteções contra esse tipo de problema”.
A Microsoft disse, por sua vez, que lançou atualizações da infraestrutura do Azure para corrigir a vulnerabilidade. Na maioria dos casos — exceto clientes que optaram por não receber atualizações automáticas — os usuários não precisam realizar nenhuma ação. O Google Cloud também disse que nenhuma ação do cliente é necessária. A empresa aplicou os patches disponíveis em sua frota de servidores. No entanto, alguns produtos exigem atualizações adicionais de seus parceiros ou fornecedores.
A fabricante de dispositivos de rede Cisco disse que seus servidores blade UCS B-Series M6 e servidores UCS C-Series M6 em rack usam CPUs Intel que são vulneráveis a ataques Downfall. Do mesmo modo a Citrix publicou um comunicado informando aos clientes que o CVE-2022-40982 afeta apenas o Citrix Hypervisor quando executado em CPUs Intel vulneráveis.
A Dell informou que lançou patches de BIOS para computadores Alienware, ChengMing, série G, Precision, Inspiron, Latitude, OptiPlex, Vostro e XPS. A HP por seu lado comunicou que começou a lançar SoftPaqs que abordam o Downfall para seus PCs de uso doméstico e corporativo, estações de trabalho e sistemas PoS de varejo.
A Lenovo começou a lançar atualizações de BIOS que abordam a vulnerabilidade de seus desktops (incluindo multifuncionais), notebooks, laptops, servidores e dispositivos. Enquanto a NetApp disse que vários produtos incorporam chips Intel e está trabalhando para determinar quais deles serão afetados. Até o momento, foi confirmado que alguns sistemas de armazenamento AFF e FAS foram afetados, mas vários produtos ainda estão sendo analisados.
Veja isso
Bugs em CPUs Intel e AMD podem permitir o roubo de dados
Intel anuncia lançamento de chip dedicado a cryptomining
A fabricante de servidores SuperMicro lançou um boletim de segurança para informar os usuários sobre os recentes patches de firmware da Intel, inclusive para o Downfall, e disse que desenvolveu uma atualização do BIOS em resposta às vulnerabilidades.
Seguindo a mesma diretriz, a VMware informou aos clientes que os hypervisors podem ser afetados pelo CVE-2022-40982 se estiverem usando uma CPU Intel afetada, mas os patches do hypervisor não são necessários para resolver a vulnerabilidade. Em vez disso, os clientes afetados precisam obter atualizações de firmware de seus fornecedores de hardware.
Já a comunidade que administra o Xen, monitor em software livre de máquina virtual (VMM ou hypervisor) para arquiteturas x86, disse que todas as versões de seu hypervisor são afetadas se executadas em dispositivos com CPUs Intel vulneráveis. Além de recomendar atualizações de firmware de fornecedores de hardware, a organização forneceu mitigações, mas alertou que elas podem afetar significativamente o desempenho.Por fim, várias distribuições do Linux lançaram avisos, patches e mitigações para sistemas que usam processadores Intel. A lista inclui SUSE, CloudLinux, RedHat, Ubuntu e Debian.
