I ricercatori di Intel hanno scoperto e corretto una vulnerabilità di sicurezza ribattezzata Reptar che affligge i suoi processori, anche i più recenti Alder Lake, Raptor Lake e Sapphire Rapids.
“Sebbene al giorno d’oggi le CVE più sfruttate siano quelle che permettono l’infezione di un sistema da remoto”, commenta Riccardo D’Ambrosio, SOC Analyst di Swascan, “vulnerabilità come Reptar rappresentano comunque una criticità dopo l’accesso iniziale al sistema, poiché potenzialmente consentono escalation di privilegi, rivelazione di informazioni e/o attacchi di Denial of Service (DoS) attraverso accesso locale”.
Ecco come proteggersi.
Indice degli argomenti
Reptar: impatti della falla nelle CPU Intel
“Per i possibili impatti”, spiega Sandra Marsico, Customer Success Manager di Swascan, “Reptar è una vulnerabilità che presenta un’importante sfida di sicurezza, un difetto ad alto rischio nei processori Intel: può permettere l’escalation dei privilegi, la divulgazione di informazioni e attacchi di DoS (attacchi di negazione dei servizi)”.
Gli aggressori possono infatti sfruttare la falla, classificata come CVE-2023-23583 e descritta come “Redundant Prefix Issue“, per aumentare i privilegi, ottenere l’accesso a informazioni sensibili o sferrare un attacco denial of service, provocando costosi danni ai cloud provider.
Ma “è subito importante sottolineare”, aggiunge Sandra Marsico, “che questa vulnerabilità richiede l’accesso locale al sistema, il che significa che un attaccante deve avere già un certo livello di accesso per poterla sfruttare“.
Comunque, “in determinate condizioni microarchitettoniche, Intel ha identificato casi in cui l’esecuzione di un’istruzione (REP MOVSB) codificata con un prefisso REX ridondante può determinare un comportamento imprevedibile del sistema con conseguente crash/hang del sistema. O, in alcuni scenari limitati, può consentire l’escalation dei privilegi (EoP) da CPL3 a CPL0”, ha dichiarato Intel.
Come proteggersi dalla vulnerabilità Reptar
Occorre aggiornare tempestivamente i firmware e mantenere i sistemi aggiornati. Ogni volta che un vendor sana una falla, l’update infatti è urgente.
I sistemi specifici con i processori interessati, compresi quelli con Alder Lake, Raptor Lake e Sapphire Rapids, hanno già ricevuto i microcodici aggiornati prima di novembre, senza alcun impatto sulle prestazioni o problemi previsti.
L’azienda ha inoltre rilasciato aggiornamenti del microcodice per risolvere il problema per le altre CPU. Si consiglia agli utenti di aggiornare il BIOS, il sistema operativo e i driver per ricevere il microcodice più recente dai produttori di apparecchiature originali (OEM), dai fornitori di sistemi operativi (OSV) e dai fornitori di hypervisor.
L’elenco completo delle CPU Intel interessate dalla vulnerabilità CVE-2023-23583 e le indicazioni per la mitigazione sono disponibili sul sito.
“È cruciale che gli amministratori di sistema applichino questi aggiornamenti il prima possibile”, sottolinea Marsico: “Nel frattempo, monitorare l’attività del sistema per segni di sfruttamento anomalo, rafforzare i controlli di accesso e, se possibile, isolare i sistemi più critici può aiutare a ridurre il rischio.
Reptar è l’ennesimo promemoria dell’importanza di una gestione attenta della sicurezza dei sistemi e dell’importanza di applicare tempestivamente gli aggiornamenti di sicurezza in un ambiente IT sempre più complesso e interconnesso”.
Infatti, “anche se Intel rassicura sulla mancanza di evidenze di attacchi attivi”, avverte Riccardo D’Ambrosio, “è essenziale applicare gli aggiornamenti per mantenere un adeguato livello di sicurezza, specialmente in contesti critici come gli ambienti virtualizzati multi-tenant”.
Infatti, “per quanto questo possa (leggermente) mitigarne la pericolosità, in un ambiente condiviso, come in un cloud multi-tenant per esempio”, evidenzia Sandra Marsico, “questa limitazione potrebbe risultare meno restrittiva. In uno scenario in cui risorse hardware come i processori sono condivise tra diversi utenti o organizzazioni, una vulnerabilità come Reptar potrebbe essere sfruttata, influenzando tutti gli utenti della stessa infrastruttura hardware”.
I rischi di un ambiente cloud condiviso
“Supponiamo che un sito web sia ospitato in un ambiente cloud condiviso e che questo sito abbia delle falle di sicurezza che permettano a un attaccante di ottenere l’accesso alla macchina virtuale“, conclude Marsico: “Una volta guadagnato l’accesso, l’attaccante potrebbe sfruttare la vulnerabilità Reptar per eseguire un attacco di escalation dei privilegi, ottenendo così un controllo maggiore sul sistema. Sfruttando poi la vulnerabilità in modo tale da causare un DoS (Denial of Service), potrebbe portare al crash del sistema operativo dell’host o di altri componenti critici. Questo, a sua volta, potrebbe causare l’interruzione del servizio non solo per l’organizzazione proprietaria del sito web inizialmente sfruttato, ma anche per altri siti o servizi ospitati sulla stessa infrastruttura fisica, inclusi quelli di proprietà di altre organizzazioni”.