Domande frequenti sulle vulnerabilità di esecuzione speculativa

Si è parlato recentemente di una nuova vulnerabilità che interessa il mondo dell’industria e che coinvolge i microprocessori di ultima generazione. Sulla base di nuove ricerche sulla sicurezza, sono stati trovati metodi di analisi del software che, se in mano a malintenzionati, sono in grado di impossessarsi in maniera impropria dei dati sensibili provenienti dai diversi dispositivi in esecuzione.  

Spesso indicato come metodo di analisi del canale laterale, oppure Spectre e Meltdown, questa vulnerabilità colpisce i microprocessori di diversi fornitori di CPU. Per sconfiggere queste vulnerabilità, anche HPE e Microsoft hanno lavorato insieme per trovare la risoluzione più appropriata.   

Per noi di HPE, la sicurezza dei prodotti è la massima priorità e continuiamo a lavorare proattivamente con i fornitori di sistemi operativi e microprocessori per sviluppare software e aggiornamenti firmware per mitigare le vulnerabilità.  

Più di un mese fa abbiamo pubblicato un post con le risorse per mitigare e risolvere questo tipo di vulnerabilità, che comprendono aggiornamenti sia per il sistema operativo che per il sistema ROM dei server HPE ProLiant. Leggi “Risorse per ridurre le vulnerabilità di esecuzione speculativa su Intel e altri processori”.

Abbiamo ricevuto diverse domande legate a queste vulnerabilità. Vediamo alcune di queste domande frequenti e le relative risposte.[1]

1. La vulnerabilità dei microprocessori riguarda tutti i fornitori del settore tecnologico o soltanto HPE?

La vulnerabilità dei microprocessori coinvolge tutti i fornitori di tecnologia che utilizzano i moderni microprocessori e non specificamente HPE. Tutti i prodotti e le soluzioni che presentano la vulnerabilità richiedono gli opportuni aggiornamenti del sistema operativo e della ROM. Intel ha dichiarato che i processori Itanium non sono esposti alla vulnerabilità collegata all'analisi side-channel.

2. Quali sono i prodotti e le soluzioni HPE vulnerabili?

Qualsiasi prodotto o soluzione HPE che includa i microprocessori interessati risulta potenzialmente vulnerabile; per verificare se i tuoi prodotti siano coinvolti, visita la  pagina Web di HPE dedicata alle vulnerabilità. HPE provvederà ad aggiornare l’elenco dei sistemi all’occorrenza. 

3. La vulnerabilità dei microprocessori è dovuta a un attacco o a una violazione in atto?

No, non ci sono stati attacchi noti. La vulnerabilità è causata da un difetto di progettazione che, se analizzato tramite il metodo side-channel, può consentire ai malintenzionati di accedere ai dati.  L’applicazione degli opportuni aggiornamenti del sistema operativo e del microprocessore per i sistemi HPE consente di mitigare il rischio associato alla vulnerabilità.

4. Qual è la portata della vulnerabilità di sicurezza?

Nuovi studi sulla sicurezza hanno permesso di individuare metodi di analisi del software che, se utilizzati da malintenzionati, consentono di raccogliere illecitamente dati sensibili da dispositivi informatici correttamente funzionanti. Per ulteriori informazioni, puoi fare riferimento alle seguenti CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754.

5. Qual è la soluzione?

Per risolvere il problema sono necessari sia un aggiornamento del sistema operativo, messo a disposizione dal relativo fornitore, sia un aggiornamento della ROM di sistema, fornito da HPE.  A seconda dei sistemi HPE utilizzati, puoi trovare le istruzioni sulle misure appropriate da adottare alla pagina Web di HPE dedicata alle vulnerabilità.  

Se sei un cliente HPE Pointnext e ritieni che il tuo sistema sia interessato dal problema, contatta il responsabile dell’assistenza.  

Se sei un cliente HPE Storage, visita la pagina Web di HPE dedicata alle vulnerabilità. Le procedure per la risoluzione dei problemi relativi ai prodotti storage e server HPE potrebbero essere diverse. Per informazioni dettagliate sullo storage, visita la pagina Web di HPE dedicata alle vulnerabilità. Per i prodotti software come StoreVirtual VSA, StoreOnce VSA, RMC e altri titoli eseguibili sui server x86, si consiglia di fare riferimento alle comunicazioni del fornitore del server x86.

6. Per scaricare e installare gli aggiornamenti HPE per la ROM di sistema è obbligatorio disporre di un contratto attivo o di una garanzia?

No. Non verifichiamo che il cliente abbia diritto di scaricare gli aggiornamenti della ROM di sistema per i prodotti e le soluzioni in cui è stata rilevata questa vulnerabilità, se disponibili. 

7. Quali sono i sistemi operativi interessati?

Sono interessati i sistemi operativi Windows®, Linux® e VMware®. I fornitori dei sistemi operativi stanno pubblicando i necessari aggiornamenti delle patch. In base alle informazioni attualmente fornite da Intel, i processori Itanium non sono interessati, pertanto i sistemi HP-UX, OpenVMS e i sistemi NonStop serie J e serie H con NonStop OS risultano immuni. La vulnerabilità riguarda invece i sistemi NonStop serie L con NonStop OS perché utilizzano processori x86. Riguarda anche i componenti CLIM e NSC dei sistemi NonStop in esecuzione su processori x86 e sistema operativo Linux o Windows. 

Per ulteriori informazioni, HPE consiglia di contattare i fornitori dei sistemi operativi: Microsoft®, VMware, SUSE e Red Hat®.

8. Quali sono i microprocessori interessati?

La maggior parte dei microprocessori con architetture moderne può essere soggetta al metodo di analisi side-channel. Intel e AMD hanno informato HPE di propria iniziativa e stanno collaborando attivamente per fornire le soluzioni necessarie. Intel ha dichiarato che i processori Itanium sono immuni dalla vulnerabilità collegata all’analisi side-channel. Contatta gli altri fornitori di microprocessori per ricevere ulteriori informazioni.

9. Sono coinvolti anche altri produttori di hardware?

Sono potenzialmente vulnerabili tutti i produttori di hardware e i provider di servizi di cloud pubblico che usano le moderne architetture di microprocessore interessate. La vulnerabilità può riguardare anche i telefoni cellulari e i computer client. Per maggiori dettagli, rivolgiti ai fornitori di questi prodotti.

10. Dopo l’applicazione delle patch sui miei sistemi, ci saranno effetti sulle prestazioni?

Nella maggior parte dei casi, è in genere prevedibile un impatto minimo sulle prestazioni, che varia in base al sistema operativo e al carico di lavoro. HPE e i suoi partner che si occupano di sistemi operativi e microprocessori continueranno a monitorare e caratterizzare i potenziali effetti sulle prestazioni nel tempo e forniranno ulteriori indicazioni a mano a mano che si renderanno disponibili nuovi dati. 

11. Che ripercussioni avrà questa vulnerabilità dei microprocessori sui server HPE ProLiant e HPE Synergy Gen10, i server standard di settore più sicuri al mondo?^[2]

La vulnerabilità dei microprocessori è un difetto dei moderni microprocessori, ma non sono stati rilevati attacchi noti associati a tale vulnerabilità. I server HPE Gen10 sono dotati dell’unica tecnologia Silicon Root of Trust originale. Questi circuiti personalizzati HPE assicurano una protezione dagli attacchi al firmware senza precedenti. Nonostante tali avanzate funzionalità di protezione, i clienti devono comunque applicare tutti gli aggiornamenti consigliati e seguire le best practice di sicurezza in relazione a questa particolare vulnerabilità.

12. Quali saranno le ripercussioni di questa vulnerabilità dei microprocessori per i clienti che valutano l’acquisto di prodotti HPE?

Possiamo garantire che le soluzioni di elaborazione HPE sono all’avanguardia in termini di sicurezza e qualità. La scoperta di questo difetto nei microprocessori, che riguarda l’intero settore, non dovrebbe influire in alcun modo sulle decisioni di acquisto delle soluzioni HPE.  HPE continuerà a collaborare con Intel, AMD e ARM, assicurandosi che le soluzioni necessarie per i microprocessori impiegati nei nostri prodotti rimangano una priorità assoluta. Inoltre, l’applicazione degli aggiornamenti ai microprocessori, unita all’adozione della tecnologia Silicon Root of Trust di HPE presente solo nei server HPE Gen10, garantisce piattaforme di elaborazione conformi ai massimi standard di sicurezza del settore.

13. HPE fornirà altri aggiornamenti relativi a questa vulnerabilità?

Sì, HPE continuerà a pubblicare aggiornamenti non appena saranno disponibili ulteriori informazioni e dettagli. Visita la pagina Web di HPE dedicata alle vulnerabilità.

14. HPE ha recentemente rilasciato gli aggiornamenti della ROM di sistema per i prodotti server HPE ProLiant, HPE Synergy, HPE Superdome Flex e HPE Superdome X. Perché non riesco a trovarli?

Gli aggiornamenti per HPE ProLiant DL385 Gen10 sono ancora disponibili. Stiamo tuttavia informando i nostri clienti che il 22 gennaio 2018 Intel ha pubblicato una dichiarazione relativa ai problemi associati alla patch di microcodice Intel rilasciata contro la vulnerabilità collegata all'analisi side-channel. Intel consiglia ai clienti di interrompere la distribuzione delle ROM di sistema che includono questa patch di microcodice e ripristinare la versione precedente della ROM per evitare comportamenti imprevisti del sistema.

Di conseguenza, gli aggiornamenti della ROM di sistema per i prodotti server HPE ProLiant, HPE Synergy, HPE Superdome Flex e HPE Superdome X sono stati rimossi dala pagina del supporto HPE. Le revisioni aggiornate delle ROM di sistema per queste piattaforme verranno rilasciate da HPE dopo che Intel avrà fornito i microcodici aggiornati.

15. Quali generazioni di server HPE riceveranno aggiornamenti della ROM di Sistema che includono microcodici per limitare gli effetti della vulnerabilità che sfrutta il metodo di analisi del canale collaterale?

HPE si impegna a lavorare a stretto contatto con i fornitori di microprocessori per fornire aggiornamenti della ROM di sistema per i server HPE Gen10, Gen9, Gen8, G7 e delle generazioni precedenti, a mano a mano che gli aggiornamenti del microcodice vengono rilasciati dai fornitori dei processori.

Se hai ulteriori domande, controlla la Guida per i clienti HPE: vulnerabilità dei microprocessori 2018, un pacchetto di istruzioni per i clienti progettato per semplificare il compito di mitigare i rischi legati a queste vulnerabilità. Qui trovate istruzioni divise in passaggi e una raccolta di importanti collegamenti legati ai sistemi operativi più comuni e gli aggiornamenti microcodice utilizzati con le attuali generazioni server HPE. HPE raccomanda inoltre ai clienti di rivedere le istruzioni pubblicate dai vari fornitori dei microprocessori.   

Hai domande sui prodotti e le soluzioni HPE OEM Microsoft, su Windows Server 2016 o sui server HPE? Entra nella community di Coffee Coaching per tenerti sempre aggiornato sulle ultime novità HPE OEM Microsoft e interagire con gli esperti HPE e Microsoft.

Seguici su Twitter | Unisciti al gruppo LinkedIn | Clicca Mi Piace su Facebook | Guardaci su YouTube

[1] https://h20195.www2.hpe.com/V2/GetDocument.aspx?docname=a00039576ite

[2] Sulla base dei risultati dei test di penetrazione della sicurezza informatica condotti da  esterna su una serie di prodotti server di diversi fornitori nel maggio 2017.