Los proveedores 'cloud' responden ante el fallo de seguridad de los chips
La reacción por parte de los principales proveedores de infraestructura 'cloud' no se ha hecho esperar y ya han comenzado a movilizarse con el fin de tranquilizar a sus clientes corporativos.
Si la vulnerabilidad de los chip ahora descubierta tiene su repercusión entre la comunidad de usuarios domésticos, imagínense la preocupación por parte de los administradores de sistemas de las grandes compañías que diariamente utilizan servicios Cloud de los principales proveedores. Desde pequeñas compañías y startup hasta grandes corporaciones, de una u otra manera, todas ellas utilizan en la actualidad algún servicio Cloud asociado a la plataforma Azure de Microsoft, de AWS, o Compute Engine de Google.
Recordemos que todos ellos venden ciclos e instancias de uso de la CPU sobre sus plataformas, las cuales hacen uso de los chip ahora afectados por el fallo de seguridad. Es por este motivo que los clientes profesionales podrían, de una u otra manera, verse afectados por dicha vulnerabilidad.
El equipo Project Zero de Google fue clave en el descubrimiento del fallo de seguridad de los chip, por lo que sería la compañía que más tiempo ha tenido para desplegar acciones concretas sobre su infraestructura Cloud. De hecho, menciona Jann Horn, investigador principal del Proyecto, “hemos actualizado nuestros sistemas y productos afectados para protegernos contra este nuevo tipo de ataque. También colaboramos con fabricantes de hardware y software de la industria para ayudar a proteger a los usuarios y a la web en general”. La compañía afirma que antes de una fecha de divulgación fijada, coordinada para el 9 de enero de 2018, el problema se habrá mitigado en muchos de sus productos. La compañía ofrece un listado de productos afectados y su estado actual de mitigación contra este posible ataque. Aquellos productos de Google que no se mencionan explícitamente no requieren de la acción del usuario ni del cliente.
Los investigadores de Project Zero han descubierto tres métodos de ataque que son efectivos bajo diferentes condiciones. Las tres variantes de ataque pueden permitir que un proceso con privilegios de usuario normales realice lecturas no autorizadas de datos de memoria, que pueden contener información confidencial, como contraseñas, material de claves criptográficas, entre otros. “No hay una solución única para las tres variantes de ataque; cada uno requiere protección de forma independiente” afirma Google, apelando a que muchos proveedores tienen parches disponibles para uno o más de estos ataques.
AWS
Desde Amazon Web Service afirman que la vulnerabilidad existe desde hace más de 20 años en arquitecturas de procesadores para servidores con CPU de AMD y ARM, y no solo de Intel. Todos menos un pequeño porcentaje de instancias de un solo dígito que forman parte del servicio de Amazon EC2 ya están protegidos afirman desde AWS. Los restantes se completarán en las próximas horas, con notificaciones de mantenimiento de instancias asociadas.
La compañía añade además que aunque las actualizaciones que suele realizar permiten proteger la infraestructura subyacente, es necesario que los clientes también apliquen un parche de seguridad de sus sistemas operativos de cada instancia con el fin de estar completamente protegidos. Las actualizaciones para Amazon Linux se han puesto a disposición de los clientes, así como las instrucciones para actualizar instancias existentes junto con guías y boletines relacionados con el incidente de seguridad.
Microsoft
El gigante de Redmond se encuentra en fase de implementar actualizaciones para sus servicios Cloud con actualizacoines de seguridad que permitan proteger a los clientes de Windows contra las vulnerabilidades que afectan a los chips de hardware compatibles de AMD, ARM e Intel. La compañía puntualiza que actualmente no ha recibido información alguna que confirme que este tipo de vulnerabilidades ahora descubiertas hayan sido empleadas para atacar a alguno de los clientes de la compañía.
