La seguridad en el punto de mira: Meltdown y Spectre ♬♫ El calor aprieta ♬♫

Ahhhhh esa canción de Glenn Fry del éxito Billboard Top 10 de la película más taquillera de 1984 Beverly Hills Cop.

La carrera para parchear las vulnerabilidades de los procesadores Meltdown y Spectre, reveladas la semana pasada, está en marcha y, en medio del caos y la confusión que rodean a estos problemas, una cosa es segura: "El calor está encendido", ya que Meltdown será sin duda una de las vulnerabilidades relacionadas con mayores gastos que habrá que mitigar desde que se estrenó aquella película clásica de mediados de los 80, dado que estas vulnerabilidades afectan a los procesadores presentes en casi todos los dispositivos informáticos modernos, incluidos ordenadores personales, servidores, infraestructura en la nube, teléfonos y tabletas, ¡y algunos dispositivos IoT son incapaces de parchearse en absoluto!

Desglosemos las vulnerabilidades para poner un poco de orden en el caos.

Desglosando las vulnerabilidades[/caption]

La vulnerabilidad Meltdown:

CVE-2017-5754 puede permitir potencialmente a los hackers saltarse la barrera de hardware entre las aplicaciones y la memoria del kernel o del host. Una aplicación maliciosa podría, por lo tanto, acceder a la memoria de otro software, así como al sistema operativo. ¡Cualquier sistema que funcione con un procesador Intel fabricado desde 1995 (excepto Intel Itanium e Intel Atom anteriores a 2013) está afectado.Un recurso excelente puede encontrarse en meltdownattack.com, que proporciona una lista de los avisos de seguridad de la información de los principales proveedores y un vistazo al exploit Meltdown en acción!

La vulnerabilidad Spectre:

Tiene dos variantes: CVE-2017-5753 y CVE-2017-5715. Estas vulnerabilidades rompen el aislamiento entre aplicaciones independientes. Un atacante podría potencialmente obtener acceso a datos que una aplicación normalmente mantendría seguros e inaccesibles en la memoria. Spectre afecta a todos los dispositivos informáticos con procesadores modernos fabricados por Intel o AMD, o diseñados por ARM.

¿Afecta esto a la infraestructura informática interna de mi empresa o a mis dispositivos informáticos personales?

En pocas palabras: sí.

Las vulnerabilidades están presentes en todos los dispositivos con CPU afectadas, incluidos ordenadores de sobremesa, portátiles, servidores, infraestructura en la nube y dispositivos móviles.

Sin embargo, los parches del sistema operativo y del software mitigan los riesgos que plantean Meltdown y Spectre.

Así que ponte a parchear los activos de tu empresa y tus dispositivos personales, enjuaga y repite 😊.

Mientras tanto, los malos estarán intentando diseñar exploits para Meltdown y Spectre, si es que no lo han hecho ya.

Hasta ahora no hay evidencia de que los exploits contra las vulnerabilidades estén en la naturaleza, sin embargo, si un atacante está bien financiado y motivado - piense en la piratería de bitcoin / blockchain - es posible que efectivamente veamos un nuevo aumento de la temperatura...

El enfoque de Prophix

En Prophix, hemos automatizado la aplicación de parches de proveedores tanto internamente como dentro de nuestra oferta Prophix Cloud SaaS, respondiendo inmediatamente y mitigando los riesgos planteados por Meltdown y Spectre en toda nuestra oferta de servicios.

Desde los lanzamientos de parches iniciales el 3 de enero de 2018, nuestro proveedor de infraestructura en la nube subyacente, AWS, comenzó a garantizar que todos los sistemas estuvieran parcheados a nivel de microcódigo.

https://aws.amazon.com/security/security-bulletins/AWS-2018-013/

Tras las pruebas iniciales, nuestros parches automatizados garantizaron el despliegue de todos los parches de los sistemas operativos con una cobertura completa en menos de 72 horas

la carrera por desplegar parches a escala mundial está que arde, pero las cosas son mucho más fáciles si se aprovecha el poder de la nube, la automatización y Prophix Cloud SaaS.

La carrera por los parches contra las vulnerabilidades de los procesadores Meltdown y Spectre reveladas la semana pasada está en marcha y, en medio del caos y la confusión que rodean a los problemas