Apakah anda menggunakan vSphere? Akhir-akhir ini user banyak membicarakan tentang vulnerability pada intel/AMD yang berpengaruh pada vSphere https://meltdownattack.com/
Vmware vSphere juga dapat diserang melalui beberapa celah karena menggunakan platform intel/AMD. vSphere mempunyai beberapa layer virtualisasi dan sayangnya anda harus update patch untuk semua komponen seperti OS, VM, virtual appliances, hypervisor, server firmware, dan CPU microcode.
Apabila anda sudah patches OS maka tidak perlu update hypervisor patches dan server firmware (CPU microcode) update namun akan sangat disarankan untuk update hardware firmware beserta hypevisor update dan VM guest patching juga baik itu linux atau windows.
Ada beberapa list Variant Meltdown dan Spectre:
- variant 1: bounds check bypass (CVE-2017-5753) – a.k.a. Spectre
- variant 2: branch target injection (CVE-2017-5715) – a.k.a. Spectre
- variant 3: rogue data cache load (CVE-2017-5754) – a.k.a. Meltdown
Vmware mengklasifikasikan mitigasi dalam beberapa kategori:
- Hypervisor-Specific Mitigation
vmware vsphere bisa saja diserang oleh Spectre variant 1 dan 2. Sedangkan Meltdown tidak mempengaruhi vmware vsphere hypervisor tapi semua guest OS membutuhkan patching baik untuk spectre atau meltdown vulnerabilities tersebut.
VMware Product | Product Version | Apply Patch | Mitigation/ Workaround |
ESXi | 6.5 | ESXi650-201712101-SG | None |
ESXi | 6 | ESXi600-201711101-SG | None |
ESXi | 5.5 | ESXi550-201709101-SG* | None |
Workstation | 14 | Not Affected | None |
Workstation | 12 | 12.5.8 | None |
Fusion | 10x | Not Affected | None |
Fusion | 8x | 8.5.9 | None |
*patch ini mitigasi CVE-2017-5715 but not CVE-2017-5753.
Untuk VM security advisor lebih lanjut – VMSA-2018-0002
- Hypervisor-Assisted Guest Mitigation
Pada proses mitigasi ini guest OS yang bertindak sebagai mitigasi yang membutuhkan patch microcode yang spesifik yang menyediakan mekanisme yang sama seperti halnya pada esxi atau pada firmware/BIOS update dari sistem vendor.
Hypervisor-Assistes Guest Remediation sebenarnya tidak direkomendasikan oleh Vmware karena issue microcode. Untuk mengatasi CVE-2017-5715 pada guest OS, kita harus memenuhi syarat dari vmware dan third-party berikut:
Syarat dari vmware:
- Deploy update versi dari vcenter yang di list pada tabel dibawah.
- Deploy esxi patches dan/atau versi baru dari workstation atau fusion yang di list pada tabel
- Pastikan VM anda menggunakan hardware versi 9 atau keatas.
Syarat dari third-party:
- Deploy guest OS patches untuk CVE-2017-5715, patchesnya disediakan oleh OS vendor
- Update CPU microcode. Microcode dibutuhkan untuk CPU untuk ekspose MSRs yang baru akan digunakan untuk patching guest OS. Microcode ini seharusnya telah disediakan oleh hardware platform vendor. Namun Vmware juga menyediakan microcode yang dibutuhkan dari intel dan AMD melalui ESXI patches seperti tabel berikut. (namun disarankan untuk tetap menggunakan microcode dari intel langsung.)
VMware Product | Product Version | Apply Patch | Mitigation/ Workaround |
vCenter | 6.5 | 6.5 U1e* | None |
vCenter | 6 | 6.0 U3d* | None |
vCenter | 5.5 | 5.5 U3g* | None |
ESXi | 6.5 | ESXi650-201801401-BGESXi650-201801402-BG** | None |
ESXi | 6 | ESXi600-201801401-BG ESXi600-201801402-BG** | None |
ESXi | 5.5 | ESXi550-201801401-BG** | None |
Security advisor lebih lanjut VMSA-2018-0004.1
- Operating System-Specific Mitigations
Pada proses ini, mitigasi dihandle oleh OS Vendor, jika anda mempunyai virtual aplliance, vendor aplliance tersebut harus update appliance nya.
Vmware produk yang bisa terserang oleh Spectre:
- VMware vSphere ESXi (ESXi)
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- VMware vCenter Server (VC)
Affected VMware Virtual Appliances : (VMware KB)
- VMware Identity Manager (Workaround KB 52284)
- VMware vCenter Server 6.5 (Workaround KB 52312)
- VMware vCenter Server 6.0 (Workaround KB 52312)
- VMware vSphere Integrated Containers
- VMware vRealize Automation
Unaffected Virtual Appliances : (VMware KB)
- vCloud Availability for vCloud Director
- VMware Horizon DaaS Platform
- VMware Integrated OpenStack
- VMware Mirage
- VMware NSX for vSphere
- VMware NSX-T
- VMware Skyline Appliance
- VMware Unified Access Gateway
- VMware vCenter Server 5.5
- VMware vRealize Log Insight
- VMware vRealize Network Insight
- VMware vRealize Operations
- VMware vRealize Orchestrator
- VMware vSphere Replication
- VMware Workspace Portal