2023
Juli
26
2023

Mitigation von CVE-2023-20593 (Zenbleed)

Am Montag, 24.07.2023, wurde bekannt, dass Researcher Tavis Ormandy eine CPU Vulnerability der AMD Zen 2 Plattform entdeckt hat. Tavis Ormandy hat die Lücke auf seiner Website ausführlich beschrieben. Da wir bei cloudscale.ch inzwischen hauptsächlich auf AMD CPUs setzen, war uns sofort klar, dass wir von dieser Sicherheitslücke betroffen sind. Mithilfe des Proof-of-Concept-Codes, der zusammen mit der Beschreibung veröffentlicht wurde, konnten wir dies dann auch bestätigen.

Für die im Eskalationsprozess involvierten Personen stand ausser Frage, dass diese Vulnerability eine umgehende Reaktion bzw. Mitigation erfordert, um die Sicherheit unserer Kunden bestmöglich zu gewährleisten.

In einem nächsten Schritt wurden drei mögliche Mitigations-Ansätze (BIOS Update, "Chicken Bit" und Microcode Update) besprochen und die beiden Letzteren in unserer Lab-Umgebung getestet. Diese beiden Lösungsansätze haben den Vorteil, dass sie im laufenden Betrieb angewendet werden können, wobei jedoch die Variante "Chicken Bit" voraussichtlich mit einer erheblichen Performance-Einbusse einhergegangen wäre. Aus diesem Grund entschieden wir uns für die Mitigation mittels Microcode Update.

Nach erfolgreicher Anwendung des Microcode Update im Lab konnten wir verifizieren, dass ein Exploit der Lücke mittels Proof-of-Concept-Code nicht mehr möglich war, während der stabile Betrieb weiterhin gewährleistet werden konnte.

Nachdem unsere Test Suite erfolgreich durchlief, haben wir uns entschieden, das Update gestaffelt in der produktiven Umgebung einzuspielen. Aufgrund der Dringlichkeit setzten wir das Wartungsfenster nicht mit zwei Wochen Vorlauf wie üblich, sondern per sofort an – und zwar gleich für beide Cloud-Standorte, auch wenn wir Wartungen sonst normalerweise auf zwei separate Tage legen. Zuerst auf einzelnen Compute-Hosts und danach in Batches haben wir so das Microcode Update angewendet.

Am Dienstag, 25.07.2023, um 01:33 Uhr (CEST) schliesslich war der letzte Compute-Host gepatcht.

Setzt Prioritäten:
Ihr cloudscale.ch-Team

PS: Um über Incidents und geplante Wartungsarbeiten laufend informiert zu werden, abonnieren Sie die Updates über den gewünschten Kanal auf unserer Statusseite.

Zurück zur Übersicht