Reptar: Sicherheitslücke in Intel-CPUs bedroht Cloud-Server
Angreifer, die eine virtuelle Maschine auf einem Host mit Intel-CPU kontrollieren, können diesen unter Umständen zum Stillstand bringen. Intel flickt die Lücke.
(Bild: cherezoff / Shutterstock.com)
Eine neue Sicherheitslücke namens "Reptar" treibt Cloud-Admins weltweit um. Der Fehler betrifft verschiedene CPU-Typen des US-Herstellers und kann von Angreifern ausgenutzt werden, die Zugriff auf eine virtuelle Maschine auf einem Intel-Host haben.
Der Fehler verbirgt sich tief in den Registern moderner Intel-Prozessoren. Diese verfügen über ein Feature namens fsrm oder "fast short repeat move", das bei bestimmten Speicher-Operationen auf Multicore-Prozessoren ab der Generation "Ice Lake" für einen undefinierten Zustand sorgen kann. Intel bezeichnet diesen Bug als "Redundant Prefix Issue" (etwa "Problem mit überflüssigem Präfix") und hat die CVE-ID CVE-2023-23583 vergeben. In einem Sicherheits-Bulletin schätzt der Prozessorhersteller die Bedrohung durch die Lücke als "hoch" ein und verteilt einen CVSSv3-Score von 8.8/10.
Tavis Ormandy, prominenter Sicherheitsforscher bei Google, war an der Analyse der Sicherheitslücke beteiligt und betont das hohe das Risiko für Cloud-Provider. Seinem ausführlichen Bericht (der Spuren von Assembler enthält) zufolge kann ein Angreifer den Prozessorbug aus einer Gast-VM heraus auslösen. Eine bei einem Infrastruktur-Anbieter wie Google Cloud gemietete virtuelle Maschine kann demnach Fehler provozieren, die bis zum Ausfall einzelner Prozessorkerne oder des ganzen Hostsystems führen ("Machine Check Exception"). Den Quellcode für ein Testprogramm liefert Ormandy interessierten Admins frei Haus.
Cloud-Anbieter und Linux-Distributionen reagieren
Ormandy empfiehlt jedem Cloud-Provider, die eigenen Maschinen zügig zu patchen. Während Intel bereits Microcode-Updates und eine ausführliche Liste aller betroffenen Prozessoren bereitgestellt hat, haben die großen Linux-Distributionen mittlerweile reagiert. Ubuntu hat aktualisierte Microcode-Pakete für alle Versionen außer Trusty (das das Laden des Microcode zur Laufzeit nicht unterstützt) veröffentlicht, Debian testet das aktualisierte Paket noch im "unstable"-Versionsbaum; Red Hat erklärt sich für nicht zuständig. Auch Amazon hat seinen Cloud-Kunden bereits teilweise Entwarnung gegeben: Alle betroffenen AWS-Hosts seien gepatcht, Kunden der "Bare Metal"-Sparte sollen selbsttätig für Microcode-Updates sorgen. Google als Mitentdecker der Sicherheitslücke hat ebenfalls Patches auf seiner Cloud-Plattform eingespielt. Auch Citrix hat bereits reagiert und einen Hotfix zur Fehlerbehebung für den Citrix Hypervisor (ehemals Xen) bereitgestellt.
Sicherheitslücken in CPUs sind dieses Jahr gehäuft aufgetreten. Das konstatiert Phil Venables, CISO der Google-Cloudsparte, in seinem Blogartikel zu "Reptar". So haben Forscher des Suchmaschinenriesen im August die Sicherheitslücke "Downfall" auf Intel-CPUs und "Zenbleed", das AMD-Prozessoren betraf, entdeckt und veröffentlicht. Erst vor wenigen Tagen hatte das CISPA Helmholtz-Zentrum für Informationssicherheit zudem eine als "CacheWarp" bezeichnete Schwachstelle in AMD-CPUs der Öffentlichkeit vorgestellt.
Wir haben aktuelle Reaktionen der großen Linux-Distributionen und Cloud-Anbieter zusammengetragen und im Artikel an passender Stelle ergänzt.
(cku)
