Apabila Anda menggunakan vSphere, mungkin sudah sering mendengar apabila belakangan ini banyak informasi tentang vulnerability pada intel/AMD yang berpengaruh pada vSphere. Info tentang serangan meltdown ini dapat dilihat lebih dalam di https://meltdownattack.com/
VMware vSphere juga dapat diserang melalui beberapa celah karena menggunakan platform intel/AMD. vSphere mempunyai beberapa layer virtualisasi dan sayangnya anda harus update patch untuk semua komponen seperti OS, VM, virtual appliances, hypervisor, server firmware, dan CPU microcode.
Apabila Anda sudah patches OS maka tidak perlu update hypervisor patches dan server firmware (CPU microcode) update, tetapi akan sangat disarankan untuk update hardware firmware beserta hypervisor update dan VM guest patching juga baik itu linux atau windows.
Varian dari Serangan Meltdown dan Spectre
Ada beberapa list Variant Meltdown dan Spectre:
- variant 1: bounds check bypass (CVE-2017-5753) – a.k.a. Spectre
- variant 2: branch target injection (CVE-2017-5715) – a.k.a. Spectre
- variant 3: rogue data cache load (CVE-2017-5754) – a.k.a. Meltdown
Vmware mengklasifikasikan mitigasi dalam beberapa kategori:
- Hypervisor-Specific Mitigation
VMware vSphere bisa saja diserang oleh Spectre variant 1 dan 2. Sedangkan Meltdown tidak mempengaruhi VMware vSphere hypervisor tapi semua guest OS membutuhkan patching baik untuk spectre atau meltdown vulnerabilities tersebut.
VMware Product | Product Version | Apply Patch | Mitigation/ Workaround |
ESXi | 6.5 | ESXi650-201712101-SG | None |
ESXi | 6 | ESXi600-201711101-SG | None |
ESXi | 5.5 | ESXi550-201709101-SG* | None |
Workstation | 14 | Not Affected | None |
Workstation | 12 | 12.5.8 | None |
Fusion | 10x | Not Affected | None |
Fusion | 8x | 8.5.9 | None |
*patch ini mitigasi CVE-2017-5715 but not CVE-2017-5753.
Untuk VM security advisor lebih lanjut – VMSA-2018-0002
- Hypervisor-Assisted Guest Mitigation
Pada proses mitigasi ini guest OS yang bertindak sebagai mitigasi yang membutuhkan patch microcode yang spesifik yang menyediakan mekanisme yang sama seperti halnya pada esxi atau pada firmware/BIOS update dari sistem vendor.
Persyaratan Mengatasi Serangan Spectre CVE-2017-5715
Hypervisor-Assisted Guest Remediation sebenarnya tidak direkomendasikan oleh VMware karena issue microcode. Untuk mengatasi CVE-2017-5715 pada guest OS, kita harus memenuhi syarat dari VMware dan third-party berikut:
Syarat dari VMware:
- Deploy update versi dari vCenter yang di list pada tabel dibawah.
- Deploy esxi patches dan/atau versi baru dari workstation atau fusion yang di list pada tabel
- Pastikan VM Anda menggunakan hardware versi 9 atau ke atas.
Syarat dari third-party:
- Deploy guest OS patches untuk CVE-2017-5715, patches-nya disediakan oleh OS vendor
- Update CPU microcode. Microcode dibutuhkan untuk CPU untuk ekspose MSRs yang baru akan digunakan untuk patching guest OS. Microcode ini seharusnya telah disediakan oleh hardware platform vendor. Namun VMware juga menyediakan microcode yang dibutuhkan dari intel dan AMD melalui ESXI patches seperti tabel berikut. (Namun disarankan untuk tetap menggunakan microcode dari intel langsung.)
VMware Product | Product Version | Apply Patch | Mitigation/ Workaround |
vCenter | 6.5 | 6.5 U1e* | None |
vCenter | 6 | 6.0 U3d* | None |
vCenter | 5.5 | 5.5 U3g* | None |
ESXi | 6.5 | ESXi650-201801401-BGESXi650-201801402-BG** | None |
ESXi | 6 | ESXi600-201801401-BG ESXi600-201801402-BG** | None |
ESXi | 5.5 | ESXi550-201801401-BG** | None |
Security advisor lebih lanjut VMSA-2018-0004.1
- Operating System-Specific Mitigations
Pada proses ini, mitigasi di-handle oleh OS Vendor, jika Anda mempunyai virtual appliance, vendor appliance tersebut harus update appliance-nya.
VMware yang Berpotensi Terkena Serangan
VMware produk yang bisa terserang oleh Spectre:
- VMware vSphere ESXi (ESXi)
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- VMware vCenter Server (VC)
Affected VMware Virtual Appliances : (VMware KB)
- VMware Identity Manager (Workaround KB 52284)
- VMware vCenter Server 6.5 (Workaround KB 52312)
- VMware vCenter Server 6.0 (Workaround KB 52312)
- VMware vSphere Integrated Containers
- VMware vRealize Automation
Unaffected Virtual Appliances : (VMware KB)
- vCloud Availability for vCloud Director
- VMware Horizon DaaS Platform
- VMware Integrated OpenStack
- VMware Mirage
- VMware NSX for vSphere
- VMware NSX-T
- VMware Skyline Appliance
- VMware Unified Access Gateway
- VMware vCenter Server 5.5
- VMware vRealize Log Insight
- VMware vRealize Network Insight
- VMware vRealize Operations
- VMware vRealize Orchestrator
- VMware vSphere Replication
- VMware Workspace Portal
i3 merupakan authorized partner VMware yang menyediakan berbagai kelas training dan sertifikasi di bidang virtualisasi, mulai dari tingkat fundamental sampai advanced.
Selain sebagai tempat training IT yang banyak direkomendasikan oleh praktisi, i3 juga menawarkan jasa IT Services di 4 bidang utama keahlian: Open Source, Virtualisasi, Database, dan IT Security. Semua training dan services ditangani oleh instruktur dan konsultan yang berpengalaman dan memiliki sertifikasi internasional.
Untuk info lebih lengkap mengenai training yang tersedia di i3, Anda dapat menghubungi langsung tim sales kami melalui halaman Contact Us.