Spectre en Meltdown: wat was de échte impact ?
Spectre en Meltdown – en meer bepaald het patchen van de lekken – hebben zowat elke system administrator bezig gehouden de afgelopen dagen. Nu het stof stilaan gaat liggen en de belangrijkste patches zijn doorgevoerd, kunnen we de concrete impact inschatten voor cloud providers als Combell.
Was dit de grootste/belangrijkste patching ooit?
Je kan het enigszins vergelijken met het Heartbleed-lek enkele jaren geleden. Kort gezegd krijgt alles waar een CPU in zit een software- en/of firmware-upgrade. Dat gaat van hypervisors tot virtual machines. Dus ja, het was voor ons zeker een van de grootste/belangrijkste patchings die we ooit al deden.
Was dit het gevaarlijkste lek ooit?
Qua risicogehalte was Heartbleed erger. Spectre en Meltdown zijn immers moeilijk van op afstand te misbruiken: je moet al toegang hebben of een gebruiker een bepaalde actie kunnen laten uitvoeren (op een link klikken, een website bezoeken, enz.) Je kan niet zomaar servers zoeken die nog niet gepatched zijn en er misbruik van maken. De impact is dus minder groot (lees: we zeggen zeker niét dat die klein is), want beperkt tot personen en machines die reeds toegang hebben op een server. Nog steeds gevaarlijk maar minder erg dan Heartbleed. Daarbij waren er na een paar uur immers al remote scanners alle IP-ranges aan het afgaan op zoek naar kwetsbare servers. Dat is nu niet het geval.
Hoe moeilijk is de patching van het lek?
Op zich is patches installeren niet zo moeilijk, maar bij Spectre en Meltdown waren er wel twee specifieke problemen.
1. Niet alle vendors waren al klaar met patches
Omdat het embargo te vroeg werd opgeheven kwamen een aantal vendors met snelle patches die drie dagen later moesten vervangen worden door nieuwe patches (“Oeps, we waren iets vergeten”). Wat ons uiteraard heel wat extra werk opleverde.
2. ALLES moet gepatched worden
Voor virtuele omgevingen zijn dat dus drie types patches: BIOS upgrades, hypervisors (KVM/VMware) en het besturingssysteem binnen de virtuele machines (VMs). Daarbovenop is een gewone kernel update & reboot in VMs niet voldoende. De VM moet een “cold boot” krijgen: VM afzetten & opstarten in VMware om de microcode in te laden in de virtuele CPU. Dat maakt remote patching een stuk moeilijker & intensiever.
Kloppen de cijfers die circuleren over performantieverlies?
Er werd gesproken over een performantieverlies van 5 tot 30 procent. Wij zien momenteel dat het performantieverlies op onze servers onderaan die vork zitten. Het type servers dat het meeste last lijkt te hebben zijn de database servers: MySQL/MariaDB & PostgreSQL. Daar zien we tussen de 10 en 20% CPU increase. Op webservers is het op dit moment nog niet erg duidelijk, maar daar lijkt het wel beter mee te vallen.
Welk lek is het gevaarlijkste?
Meltdown bracht duidelijk meer risico’s met zich mee. Vandaar dat alle aandacht in eerste instantie daarnaartoe ging. Spectre is inderdaad moeilijker te exploiteren, maar we zijn ervan overtuigd dat het niet lang meer duurt eer ook daar de eerste publieke exploits opduiken. Maar het blijven lokale aanvallen: je moet al toegang hebben tot een server voor je het lek kan misbruiken. En het is read-only, je kan informatie lezen uit geheugen waar je geen toegang toe hoort te hebben, maar je kan niet rechtstreeks de data manipuleren.
