L1 Terminal Fault (L1TF) o Foreshadow, la última vulnerabilidad

En el marco de su colaboración con Intel, OVH ha sido informada del descubrimiento de un nuevo vector de ataque que explota los fallos de tipo «ataques de canal lateral de ejecución especulativa» (speculative execution side-channel attacks). Esta nueva vulnerabilidad, conocida como L1 Terminal Fault (L1TF) o Foreshadow, es parecida a las famosas Spectre y Meltdown que se hicieron públicas en enero y mayo de 2018, respectivamente.

¿En qué consiste la vulnerabilidad L1TF?

Bautizada como L1 Terminal Fault (L1TF) o Foreshadow, esta vulnerabilidad afecta a los procesadores que cuentan con la tecnología SMT (más conocida bajo el nombre «Hyper-Threading» utilizado por Intel) y permite que un código malicioso ejecutado en un thread acceda a los datos de la caché L1 del otro thread, en un mismo core.

La explotación de esta vulnerabilidad es bastante compleja, y su existencia solo se ha podido comprobar mediante una prueba de concepto realizada en laboratorio. Si bien no existe ningún indicio de que esta vulnerabilidad haya sido explotada, ya se han creado tres identificadores CVE de nivel alto:

  • L1 Terminal Fault: SGX (CVE-2018-3615) - 7.9 High CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
  • L1 Terminal Fault: OS, SMM (CVE-2018-3620)
 - 7.1 High CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
  • L1 Terminal Fault: VMM (CVE-2018-3646) - 
7.1 High CVSS: 3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

¿Cómo protegerse?

Para mitigar las tres variantes de L1 Terminal Fault (L1TF) se requieren las siguientes acciones:

  • utilización del microcódigo publicado en mayo (a través del boot UEFI de OVH o del sistema operativo);
  • actualización de los sistemas operativos y los kernels (los principales editores de sistemas operativos y de hipervisores empezarán a distribuir los parches próximamente).

OVH aplicará estos parches en sus hosts en cuanto estén disponibles y se hayan validado a nivel interno todas las pruebas de regresión, como de costumbre. Por consiguiente, los clientes que tengan una solución administrada (web hosting, correo electrónico, etc.) no tienen que hacer nada. En cambio, aquellos clientes que dispongan de acceso root a sus infraestructuras (servidores dedicados, VPS, Public Cloud, Private Cloud, etc.) deberán actualizar el sistema operativo y los kernels para protegerlas.

Aclaraciones sobre la variante CVE-2018-3646

En el caso concreto de la variante 3646 de Foreshadow, podría ser necesario algo más de tiempo para desarrollar un parche. Mientras tanto, puede desactivar el Hyper-Threading para protegerse de este vector de ataque. En función del caso, es posible desactivarlo directamente desde el sistema operativo (Linux, Windows...). Según la información de que disponemos, VMware ESXi debería ofrecer esta funcionalidad en una próxima actualización.

Sin embargo, esta operación podría afectar considerablemente al rendimiento de la máquina. Dada la complejidad de explotación de esta vulnerabilidad, le recomendamos que, antes de desactivar el Hyper-Threading, consulte las recomendaciones del editor del sistema operativo o hipervisor que utilice.

Recomendaciones generales

Como siempre, recomendamos a todos nuestros clientes que mantengan sus sistemas actualizados para garantizar la máxima eficacia de las medidas de protección implementadas.

Como proveedor mundial de alojamiento y servicios cloud, en OVH trabajamos en estrecha colaboración con nuestros partners, tanto fabricantes como editores de software, para mejorar cada día la seguridad de nuestras infraestructuras. Por lo tanto, aplicamos los parches y las medidas correctivas pertinentes en cuanto se descubren nuevas vulnerabilidades para reforzar las demás medidas internas de protección.

La vulnerabilidad L1 Terminal Fault (L1TF) «Foreshadow» no es una excepción a esta regla. Sin embargo, dada su repercusión mediática y fieles a los valores de transparencia que caracterizan a OVH, hemos querido publicar este mensaje para responder a las posibles preguntas de nuestros clientes.

Más información

Páginas de los editores