Apakah anda menggunakan vSphere? Akhir-akhir ini user banyak membicarakan tentang vulnerability pada intel/AMD yang berpengaruh pada vSphere https://meltdownattack.com/

Vmware vSphere juga dapat diserang melalui beberapa celah karena menggunakan platform intel/AMD. vSphere mempunyai beberapa layer virtualisasi dan sayangnya anda harus update patch untuk semua komponen seperti OS, VM, virtual appliances, hypervisor, server firmware, dan CPU microcode.

Apabila anda sudah patches OS maka tidak perlu update hypervisor patches dan server firmware (CPU microcode) update namun akan sangat disarankan untuk update hardware firmware beserta hypevisor update dan VM guest patching juga baik itu linux atau windows.

Ada beberapa list Variant Meltdown dan Spectre:

  • variant 1: bounds check bypass (CVE-2017-5753) – a.k.a. Spectre
  • variant 2: branch target injection (CVE-2017-5715) – a.k.a. Spectre
  • variant 3: rogue data cache load (CVE-2017-5754) – a.k.a. Meltdown

Vmware mengklasifikasikan mitigasi dalam beberapa kategori:

  • Hypervisor-Specific Mitigation

vmware vsphere bisa saja diserang oleh Spectre variant 1 dan 2. Sedangkan Meltdown tidak mempengaruhi vmware vsphere hypervisor tapi semua guest OS membutuhkan patching baik untuk spectre atau meltdown vulnerabilities tersebut.

VMware Product Product Version Apply Patch Mitigation/ Workaround
ESXi 6.5 ESXi650-201712101-SG None
ESXi 6 ESXi600-201711101-SG None
ESXi 5.5 ESXi550-201709101-SG* None
Workstation 14 Not Affected None
Workstation 12 12.5.8 None
Fusion 10x Not Affected None
Fusion 8x 8.5.9 None

*patch ini mitigasi CVE-2017-5715 but not CVE-2017-5753.

Untuk VM security advisor lebih lanjut – VMSA-2018-0002

  • Hypervisor-Assisted Guest Mitigation

Pada proses mitigasi ini guest OS yang bertindak sebagai mitigasi yang membutuhkan patch microcode yang spesifik yang menyediakan mekanisme yang sama seperti halnya pada esxi atau pada firmware/BIOS update dari sistem vendor.

Hypervisor-Assistes Guest Remediation sebenarnya tidak direkomendasikan oleh Vmware karena issue microcode. Untuk mengatasi CVE-2017-5715 pada guest OS, kita harus memenuhi syarat dari vmware dan third-party berikut:

Syarat dari vmware:

  • Deploy update versi dari vcenter yang di list pada tabel dibawah.
  • Deploy esxi patches dan/atau versi baru dari workstation atau fusion yang di list pada tabel
  • Pastikan VM anda menggunakan hardware versi 9 atau keatas.

Syarat dari third-party:

  • Deploy guest OS patches untuk CVE-2017-5715, patchesnya disediakan oleh OS vendor
  • Update CPU microcode. Microcode dibutuhkan untuk CPU untuk ekspose MSRs yang baru akan digunakan untuk patching guest OS. Microcode ini seharusnya telah disediakan oleh hardware platform vendor. Namun Vmware juga menyediakan microcode yang dibutuhkan dari intel dan AMD melalui ESXI patches seperti tabel berikut. (namun disarankan untuk tetap menggunakan microcode dari intel langsung.)
VMware Product Product Version Apply Patch Mitigation/ Workaround
vCenter 6.5 6.5 U1e* None
vCenter 6 6.0 U3d* None
vCenter 5.5 5.5 U3g* None
ESXi 6.5 ESXi650-201801401-BGESXi650-201801402-BG** None
ESXi 6 ESXi600-201801401-BG ESXi600-201801402-BG** None
ESXi 5.5 ESXi550-201801401-BG** None

Security advisor lebih lanjut VMSA-2018-0004.1

  • Operating System-Specific Mitigations

Pada proses ini, mitigasi dihandle oleh OS Vendor, jika anda mempunyai virtual aplliance, vendor aplliance tersebut harus update appliance nya.

Vmware produk yang bisa terserang oleh Spectre:

  • VMware vSphere ESXi (ESXi)
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • VMware vCenter Server (VC)

Affected VMware Virtual Appliances : (VMware KB)

  • VMware Identity Manager (Workaround KB 52284)
  • VMware vCenter Server 6.5 (Workaround KB 52312)
  • VMware vCenter Server 6.0 (Workaround KB 52312)
  • VMware vSphere Integrated Containers
  • VMware vRealize Automation

Unaffected Virtual Appliances : (VMware KB)

  • vCloud Availability for vCloud Director
  • VMware Horizon DaaS Platform
  • VMware Integrated OpenStack
  • VMware Mirage
  • VMware NSX for vSphere
  • VMware NSX-T
  • VMware Skyline Appliance
  • VMware Unified Access Gateway
  • VMware vCenter Server 5.5
  • VMware vRealize Log Insight
  • VMware vRealize Network Insight
  • VMware vRealize Operations
  • VMware vRealize Orchestrator
  • VMware vSphere Replication
  • VMware Workspace Portal
Inovasi Informatika Indonesia (I3) merupakan authorize partner dari VMware yang menyediakan berbagai jenis kelas training dan sertifikasi di bidang Virtualisasi, mulai dari tingkat fundamental sampai tingkat advance.
Selain sebagai tempat training IT yang banyak direkomendasikan oleh praktisi, i3 juga menawarkan jasa IT Services di 4 bidang utama keahlian: Open SourceVirtualisasiDatabase, dan IT Security. Semua training dan services ditangani oleh instructor dan konsultan yang berpengalaman dan memiliki sertifikasi internasional.
Informasi lebih lanjut tentang lengkap jadwal pelatihan dan layanan IT silahkan hubungi kami melalui info@i-3.co.id dan live chat.

Related Post

  1. HOW TO INSTALL AND CONFIGURE VSPHERE UPDATE MANAGER (VUM)
  2. Belajar Cara Backup and Recovery VMs Menggunakan vSphere Data Protection
  3. Apa Perbedaan VMFS 5 dengan VMFS 3 Datastore?
  4. Tahukah Anda Apa Itu Stretched Cluster? Apa Saja Manfaatnya?
  5. Konfigurasi VMware HA Script Pada Zimbra Collaboration