Suite à la découverte de Meltdown et Spectre, deux failles majeures exploitant des vulnérabilités présentes dans la plupart des processeurs modernes du marché dont Intel, AMD et ARM, nous vous proposons de passer en revue les produits pouvant être impactés ainsi que les mesures disponibles chez nos partenaires pour vous en prémunir. Update 12/02 : Balabit Update (25/01 puis 13/02) : ForeScout Update (18/01) : Tufin et Symantec Update (12/01) : Palo Alto Networks Update (11/01) : McAfee Update (09/01) : ForeScout, Forcepoint Update (08/01) : Balabit, F5, Fireye, Forcepoint, Imperva, Infoblox, McAfee, Logpoint, Riverbed, Symantec Pour résumer, ces vulnérabilités concernent un problème d’isolation entre la mémoire utilisateur et la mémoire système, permettant à un attaquant, disposant déjà d’un accès à un système, de divulguer ou de modifier des informations du noyau. Nous vous invitons à lire l’article détaillant ces attaques sur notre blog : https://www.nomios.fr/processeur-souhaite-bonne-annee/ Notes :

Pour les produits déployés en environnement virtuel, reportez-vous aux recommandations de l’éditeur de la solution hôte (VMware, Citrix, AWS, Azure …)
Certains constructeurs n’ont pas encore communiqué à ce sujet, néanmoins nous sommes en contact avec eux et nous maintenons à jour cet article au fil de l’eau.
Ces attaques sont réalisables si elles sont combinées avec d’autres vulnérabilités de type « Remote/local code execution ». Par conséquent, la mise à jour de vos systèmes vers les derniers patchs préconisés permettra de réduire le risque d’attaque par Meltdown et Spectre.
En général, essayez de de restreindre l'accès aux interfaces de management de vos équipements par tous les moyens :
- Restriction au niveau réseau (firewall, ACL ...)
- Limiter les comptes privilégiés aux personnes de confiance
- Limiter l'accès physique
- Utiliser une authentification forte ...

Balabit

Les produits "Privileged Access Management" et "syslog-ng Store Box" sont vulnérables aux deux attaques, cependant, selon les informations disponibles actuellement, l'impact serait assez faible car les systèmes n'autorisent pas d'accès utilisateur et exécutent exclusivement des applications fournies par Balabit. Au fur et à mesure que les investigations progressent Balabit sera en mesure de fournir plus d'informations et de fournir un correctif. Le correctif du noyau d'Ubuntu devra être testé dès qu'il est disponible, dans les jours à venir, afin d'évaluer l'impact sur les performances. Update du 12/02 : Balabit confirme que les PSM et SSB ne sont pas vulnérables car les boîtiers n'autorisent pas l’exécution de code autre que celui de Balabit. Cependant, lorsqu'ils sont déployés en machine virtuelle, il faut vérifier que les hyperviseurs ne sont pas vulnérables ou qu'ils ont bien été patchés. https://support.balabit.com/index.php?/News/NewsItem/View/122/an-update-on-meltdown-and-spectre-vulnerabilities

Cisco

Aucun produit Cisco n’est reconnu vulnérable à cette heure-ci. Toutefois, les informations sur les produits affectés seront mises à jour dans l’alerte de sécurité ci-dessous au fur et à mesure que les investigations progressent. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpusidechannel

F5

La majorité des plateforme sont vulnérables aux trois attaques (cf. article) et aucun correctif n'est actuellement disponible. Le scénario qui pourrait avoir le plus d'impact selon F5 serait dans le cas d'une configuration multi-tenant à un coeur par guests utilisé par différents "administrative domains" au sein d'un même système BIG-IP. Vous pouvez atténuer cette menace en configurant le paramètre "Cores Per Guest" à 2 ou plus pour tous les guests. Les recherches sont toujours en cours sur certaines plateformes et les résultats seront mis à jour dans cet article : https://support.f5.com/csp/article/K91229003

Fireeye

Selon l'architecture de la plateforme, tous les produits ne sont pas impactés (cf. article). Le développement et le test des correctifs sont en cours. Un reboot sera probablement nécessaire étant donné qu'il s'agira d'un ré-image complet de l'équipement. Il est fortement recommandé aux clients utilisant les appliances FireEye AX et EX de cesser d'utiliser le mode Live (AX) et le mode controlled Live (EX) pour le moment. Sur AX, le mode Live est sélectionné en tant qu'option au moment de la soumission. Sur EX, pour désactiver le mode controlled Live dans la configuration, vous pouvez utiliser "no email-analysis controlled-live-mode enable" dans la CLI. https://www.fireeye.com/blog/products-and-services/2018/01/fireeye-notice-for-meltdown-and-spectre-vulnerabilities.html

ForcePoint

Probablement vulnérable. Les correctifs seront testés au fur et à mesure de leur disponibilité. Forcepoint communiquera sur l'article : https://blogs.forcepoint.com/security-labs/looming-spectre-meltdown

Forescout

Bien que les appliances soient vulnérables aux attaques, Forescout explique que leur architecture ne permet pas l’accès nécessaire pour exécuter du code sur le CPU. Par conséquent, bien que l’impact des vulnérabilités soit critique, le potentiel d’exploitation sur les produits CounterACT est considéré comme faible. Néanmoins, pour les clients en CounterACT Service Pack 3.0.1, la correction des CVE-2017-5753 (Spectre) et CVE-2017-5754 (Meltdown) est faite par l’installation de l’ Operating Systems Update Pack v1.2.2.2 Pour les clients en Service Pack 3.0.0, il est recommandé d’upgrader en version 3.0.1 et pour les versions antérieures de service pack, le correctif n’est pas encore disponible. Par ailleurs, Forescout a sorti une mise à jour du module Windows Vulnerability DB (version 18.0.1.100) qui permet de lister les postes impactés par la faille via des politiques.

Fortinet

Les recherches sont en cours et les résultats seront mis à jour dans cet article : https://fortiguard.com/psirt/FG-IR-18-002

Gigamon

Non communiqué.

HID

Non communiqué.

Imperva

Tous les chipsets commercialisés par Imperva sont vulnérable à ces attaques. Cependant, étant donné qu'il est nécessaire d'avoir déjà un accès privilégié au système, l'attaque ne donne accès qu'aux informations déjà disponibles avec ces droits nécessaires pour exploiter ces vulnérabilités. Pas de correctif annoncé pour l'instant. https://incapsula.zendesk.com/hc/en-us/articles/115004942234-Imperva-Security-Response-to-Meltdown-and-Spectre-Exploits-Side-Channel-Attacks-to-CPU-privileged-memory-

InfoBlox

En cours d’investigation. "L'impact de ces vulnérabilités devrait être minime sur NIOS. Nos appliances physiques et le logiciel NIOS qui les exécute sont des composants d'un système durci/fermé qui ne permet pas l'accès au niveau utilisateur pour exécuter des applications ou du code.

Juniper

En cours d’investigation. Les produits Juniper utilisant des processeurs Intel (non exhaustif): Junos OS avec RE basé sur Intel, Appliance Junos Space, appliance NSMXpress / NSM3000 / NSM4000 et appliance CTP. https://forums.juniper.net/t5/Security-Now/Meltdown-amp-Spectre-Modern-CPU-vulnerabilities/ba-p/317254

LogPoint

Les équipements sont vulnérables et doivent être corrigés. Logpoint est en cours de test de performance et qualité, du patch du noyau Ubuntu. L'article suivant sera mis à jour avec les dernières informations : https://servicedesk.logpoint.com/hc/en-us/articles/115005966689-Intel-Bugs-Spectre-and-Meltdown

Intel McAfee

"Le problème spécifique au matériel, des tests sont également en cours sur les produits basés sur les appliances McAfee. Aucun problème n'a été trouvé jusqu'à présent."https://kc.mcafee.com/corporate/index?page=content&id=KB90167Automated Mechanism to Deploy the Registry Key Update : Starting with the January 10th DAT (3221.0) updates for ENS 10.0.2 and later, the registry key will be automatically updated for customers who receive their DAT updates through ePO. For customers using VSE and ENS 10.0.1 or earlier, or not using ePO for their DAT delivery, see KB90180 - Automatic remediation for Meltdown and Spectre. Ce qui signifie qu’à compter de ce soir (vers 18h) tous nos clients ENS > 10.0.1 se verront activer la dite clef de registre automatiquement par mise à jour classique du fichier de signature.

Palo Alto

Update du 12/01 : PAN-OS devices: No increased risk and patching is not required at this time. Pour continuer à se tenir à jour : https://live.paloaltonetworks.com/t5/Customer-Advisories/Information-about-Meltdown-and-Spectre-findings/ta-p/193878/jump-to/first-unread-message

Pulse Secure

Les PSA series, MAG Series and Secure Access X500 series qui hébergent les solutions Pulse Connect Secure, Pulse Policy Secure and Pulse One Appliance (on-prem) présentent un risque limité. Ces attaques ne peuvent être exploitées que par un logiciel ayant un accès local et les produits mentionnés ci-dessus sont conçus pour permettre uniquement aux logiciels de confiance fournis par Pulse Secure de fonctionner sur ces plateformes, ce qui atténue efficacement tout risque de "Side-Channel analysis" http://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB43597

Riverbed

L'équipe sécurité des produits travaille sur le problème. Cet article sera mis à jour lorsque plus d'informations seront publiées : https://supportkb.riverbed.com/support/index?page=content&id=S31752

Simplivity (HPE)

Non communiqué

Symantec

Symantec test actuellement tous les produits "appliance" Symantec pour détecter d'éventuelles vulnérabilités liées à Meltdown et Spectre. Ce document sera mis à jour à mesure que les résultats sont connus : https://support.symantec.com/en_US/article.INFO4793.html CA 2.1 and 2.2 are vulnerable to all CVEs when configured with on-box sandboxing. CA 1.3 uses affected CPU chipsets, but does not allow administrators to execute arbitrary code and is not vulnerable to known vectors of attack. https://www.symantec.com/security-center/network-protection-security-advisories/SA161

Tufin

Un patch pour TufinOS 2.15 est disponible sur leur site. https://www.tufin.com/blog/security-announcement-tufinos-2x-fix-meltdown-and-spectre-vulnerabilities

Vectra