Verificar y mitigar el fallo L1TF
517 visualizaciones
26.02.2019 
Cloud / VMware
Objetivo
Tras hacerse pública la vulnerabilidad L1TF («L1 Terminal Fault» o «Foreshadow»), se han comunicado diferentes procedimientos y parches para minimizar la exposición ante este tipo de amenaza.
Esta guía explica cómo protegerse de esta vulnerabilidad.
Requisitos
- Tener un usuario que pueda conectarse a vSphere.
- Utilizar la tecnología hyperthreading en las máquinas virtuales.
Procedimiento
A continuación recordamos las distintas variantes de L1 Terminal Fault:
| Variante | Vulnerable | ¿Solucionado por el parche? |
|---|---|---|
| L1 Terminal Fault: VMM (CVE-2018-3646) | Sí | No (aunque mitigado) |
| L1 Terminal Fault: OS (CVE-2018-3620) | No | - |
| L1 Terminal Fault: SGX (CVE-2018-3615) | No | - |
L1 Terminal Fault: SO (CVE-2018-3620) no afecta a los hipervisores de VMware y requiere acceso local al vCenter/VCSA.
L1 Terminal Fault: SGX (CVE-2018-3615) no afecta a los hipervisores de VMware.
En lo que respecta a la solución Private Cloud, la gama SDDC es la única que puede verse afectada por esta vulnerabilidad.
En este artículo explicamos el fallo en profundidad.
Mitigación de la vulnerabilidad
Tenga en cuenta que las acciones que se describen a continuación no permiten corregir el fallo, sino únicamente desactivar el hyperthreading en los hosts ESXi.
Debido a que la vulnerabilidad L1TF necesita el hyperthreading para poder funcionar, desactivarlo previene que el fallo sea explotado en su infraestructura.
El procedimiento de mitigación se describe en el siguiente artículo de VMware: https://kb.vmware.com/s/article/55806.
Consta de tres fases, que se explican a continuación.
1. Actualización
Aunque OVHcloud actualiza el vCenter, usted deberá encargarse de actualizar los hosts ESXi. El parche está disponible en el Update Manager.
Puede consultar la lista de parches para los hosts ESXi en las recomendaciones de seguridad de VMware.
Tras la actualización, aparecerá el siguiente mensaje de alerta en el resumen del host:
2. Evaluación del entorno
Los hosts ESXi ya están actualizados, pero el parche todavía no se ha aplicado.
Antes de hacerlo, debe considerar los posibles problemas que se explican en el artículo de VMware anteriormente citado, así como la disminución del rendimiento observada, que se detalla en este artículo.
3. Activación
Una vez que haya consultado la documentación anterior, podrá activar el parámetro que permite desactivar el hyperthreading en la configuración avanzada del sistema.
Puede utilizar el filtro situado en la parte superior derecha de la pantalla.
Realice esta operación en cada host.
Para más información, consulte el apartado «Resolution», punto 3, de este artículo de VMware.
Si, teniendo en cuenta todo lo anterior, no desea desactivar el hyperthreading, puede eliminar el mensaje de alerta siguiendo los pasos que se indican en este artículo.
No obstante, OVHcloud no lo recomienda y no podrá ser considerada responsable de las consecuencias que de ello se deriven.
Más información
Interactúe con nuestra comunidad de usuarios en https://community.ovh.com/en/.
Autorizar direcciones IP a conectarse al vCenter
449