OVH – L1 Terminal Fault (L1TF) / Foreshadow disclosure

Temps de lecture estimé : 7 minute(s)

(English version below)

Dans le cadre de notre partenariat avec Intel, nous avons été informés de la découverte d’un vecteur exploitant les failles de type « attaques par canal auxiliaire d’exécution spéculative » (speculative execution side-channel attaks). Cette nouvelle vulnérabilité,  L1 Terminal Fault (L1TF), ou Foreshadow, est donc apparentée aux failles Spectre et Meltdown dévoilées en janvier puis mai 2018.

FORESHADOW

Qu’est-ce que L1TF ?

Baptisée L1 Terminal Fault (L1TF) ou « Foreshadow » , cette vulnérabilité concerne les processeurs dotés d’une technologie SMT (plus connue sous l’appellation Hyper-Threading chez Intel). Elle pourrait permettre à un code malveillant exécuté sur un thread d’accéder à des données du cache L1 de l’autre thread, au sein d’un même cœur.

 

L1TF / Foreshadow est une vulnérabilité très complexe à mettre en œuvre et seul un proof of concept, élaboré en laboratoire, a permis de valider son existence. Bien qu’aucun élément ne permette de penser qu’elle puisse avoir été réellement exploitée, trois identifiants CVE (de niveau « high ») ont déjà été créés :

  • L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : L/A : N ;
  • L1 Terminal Fault – OS, SMM (CVE-2018-3620)
7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N ;
  • L1 Terminal Fault – VMM (CVE-2018-3646)
7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N.

Comment se protéger de cette faille ?

La mitigation de ces trois variantes de L1 Terminal Fault (L1TF) repose sur deux actions :

  • l’utilisation des microcodes fournis depuis mai (via le boot UEFI d’OVH et/ou via le système d’exploitation) ;
  • la mise à jour des systèmes d’exploitation et des kernels (les principaux éditeurs d’OS et d’hyperviseurs vont commencer la distribution de patch).

OVH appliquera ces patchs sur ses machines hôtes lorsque ces derniers seront disponibles et que nous aurons, comme à l’accoutumée, validés en interne l’ensemble de nos tests de non-régression.

Les clients possédant une offre managée (hébergement web, e-mails, etc.) n’ont donc aucune action à effectuer.

En parallèle, pour les clients disposant d’un accès root à leurs infrastructures (serveurs dédiés, VPS, Public Cloud, Private Cloud, etc.), une mise à jour du système d’exploitation et des kernels (https://docs.ovh.com/fr/dedicated/mettre-a-jour-kernel-serveur-dedie/) permettra de les sécuriser.

Précisions concernant la variante CVE-2018-3646

Dans le cas particulier de la variante 3646 de Foreshadow, un délai pourrait être nécessaire aux éditeurs pour proposer un correctif. En attendant ce dernier, une manière de se prémunir de cette dernière est de désactiver l’Hyper-Threading. Selon les cas, il est possible de le désactiver directement depuis l’OS (Linux, Windows, …). D’après nos informations, VMware ESXi devrait offrir cette fonctionnalité dans une prochaine mise à jour.

Attention cependant, l’impact de cette opération en termes de performances peut être très important. Compte tenu de la complexité d’exploitation de cette faille, nous conseillons donc d’attendre les recommandations de l’éditeur de l’OS ou de l’hyperviseur utilisé avant de procéder à une désactivation de l’Hyper-Threading.

Recommandations générales

Comme toujours, nous encourageons donc nos clients à simplement garder leurs systèmes à jour afin de garantir un maximum d’efficacité aux mesures de protection mises en place.

En tant qu’hébergeur et fournisseur mondial de services cloud, nous travaillons en étroite collaboration avec nos partenaires, fabricants comme éditeurs, afin d’améliorer chaque jour la sécurité de nos infrastructures. Nous appliquons patchs et correctifs lorsque de nouvelles vulnérabilités sont découvertes, en complément d’autres mesures internes de protection.

Cette vulnérabilité L1 Terminal Fault (L1TF) / Foreshadow ne fait pas exception à la règle. Mais face à la médiatisation de sa découverte et fidèles aux valeurs de transparence d’OVH, nous souhaitions via ce message répondre aux interrogations de nos clients.

Plus d’information :

Liens vers les pages des éditeurs :



English version :

We were recently informed by our partners at Intel of the discovery of a new vector of the « speculative execution side-channel » type, named L1TF / Foreshadow and based on the same concept as the Spectre and Meltdown flaws discovered in January and May 2018.

 

What is L1TF ?

Called « L1 Terminal Fault » (L1TF) – or « Foreshadow » – this vulnerability concerns CPUs with SMT technology (also known as « hyper-threading » for Intel processors). It may allow a malicious code execution on one thread to access data from the L1 cache of another thread within the same core.

Foreshadow vulnerability is extremely complex to exploit, and only a proof-of-concept developed in laboratory conditions has validated its existence. Although there was no evidence to suggest that this vulnerability has actually been exploited yet, three CVE identifiers (with « high » level qualification) were created:

 

  • L1 Terminal Fault – SGX (CVE-2018-3615) 7.9 High CVSS: 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : L/A : N
  • L1 Terminal Fault – OS, SMM (CVE-2018-3620) 7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N
  • L1 Terminal Fault – VMM (CVE-2018-3646) 7.1 High CVSS : 3.0/AV : L/AC : L/PR : N/UI : N/S : C/C : H/I : N/A : N

How can we be protected from this flaw?

These three variant of L1 Terminal Fault (L1TF) / Foreshadow can be mitigated in two ways:

  • The use of the microcodes provided since january, through the UEFI boot provided by OVH and/or via the operating system,
  • Updating operating systems and kernel (the main OS and hypervisor editors will start distributing patches).

OVH will apply these patches on its host machines once they are made available by their respective editors and when we have – as per our usual practices – validated them through our non-regression tests.

Customers with a managed offer (web hosting, e-mails, etc.) therefore have no action to take.

In addition of that, for customers with root access to their infrastructures (dedicated servers, VPS, Public Cloud, Private Cloud etc.), a simple update of the operating system and kernel (https://docs.ovh.com/gb/en/dedicated/updating-kernel-dedicated-server/ ) will secure their installations.

 

Details regarding the CVE-2018-3646 variant

In the specific case of variant 3646 of Foreshadow,  there may be a delay before editors are able to propose a patch. In the meantime, one way to protect yourself from this variant is to disable hyper-threading. Some patches distributed after the release of this vulnerability should allow you to perform this operation via software, through a kernel option.

However, the impact of this operation in terms of performance can be significant. Regarding the complexity of the exploitation of this vulnerability, we advise you to wait for the OS editor’s recommendations for the specific hypervisor used before deactivating hyper-threading.

General recommendations

As usual, we strongly encourage our customers to keep their systems up to date, in order to maintain the maximum effectiveness for all protection measures put in place.

As a global provider of cloud services, we work closely with our partners, manufacturers and editors every day to improve the security of our infrastructures, updating systems and applying the necessary patches whenever new vulnerabilities are discovered, in addition to other internal protection measures.

L1 Terminal Fault (L1TF) / Foreshadow vulnerabilities are no exception to the rule, but in light of the recent media coverage of their discovery, and in the spirit of OVH’s longstanding emphasis on transparency, we want to respond directly to the legitimate concerns of our customers.

More information :

Links to software vendors and OS/Distros: