BiznetBiznet

L1 Terminal hatası ve güvenlik açığı hakkında

Yazar: Emre Can Lekesiz

Ürün: CyberArk

Modüller: Tümü

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Intel işlemcilerde bulunan bir güvenlik açığı sunucularınızdaki verilerinizi açıkça ortaya çıkmasına neden olabilir. Intel® Core® ve Intel® Xeon® işlemcilerinin execution-side kanalında bulunan ve L1 Terminal Fault (L1TF), Foreshadow, Foreshadow-NG olarak bilinen bu güvenlik açığı konusunda CyberArk tarafına neler yapılabiliriz konulu çalışmamızın detaylarını yazımızın devamında bulabilirsiniz.

Güvenlik açığı işlemci seviyesinde olduğu için bu kez modül bağımsız, tüm CyberArk bileşenlerinizi ilgilendirmektedir.

İşlemci tarafında mevcut tasarım zayıflıklarını kullanan bu zafiyet, L1 data cache bölümünde bulunan verileriniz ele geçiren saldırgan sunuculara lokal kullanıcı olarak erişmesini sağlayabilmektedir. İşin daha da kötüsü sorun işlemci seviyesinde olduğundan, VMware ESX ve Amazon Web Services ve benzeri sanallaştırılan ortamlarda bu zafiyet üzerinden bir sunucunun verisini ele geçiren saldırgan, diğer sunucularınıza da zıplayabilmektedir. Dolayısıyla CyberArk bileşenlerini içeren sunucularınız da risk altında.

Zafiyet hakkında detaylı bilgiye ulaşmak için:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

Çözüm Önerisi:

CyberArk, işletim sisteminizin üreticisi veya sanallaştırma ürününüz tarafından yayınlanan güncellemelerin ivedilikle söz konusu sunucularınıza uygulamanızı önermektedir.

Güncelleştirme politikalarının sizlerin nezdinde olduğunun bilincinde olmakla beraber, yukarıdaki linkleri referans olması açısından paylaştık. CyberArk’ın domain üyesi sunucularına güncelleştirmeleri geçmeniz sorun teşkil etmeyecektir, ancak domain dışında tutulan Vault sunucuları için yapmanız gerekenleri ise aşağıda bulabilirsiniz:

  1. Vault ve DR Vault için yapmanız gerekenler

Microsoft Security Update paketlerini uygulayınız.

Windows 2008R2:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343900
Tıklayınız: 2018-08 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4343900)

 Windows 2012R2:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343898
Tıklayınız: 2018-08 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB4343898)

Windows 2016:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343887
Tıklayınız: 2018-08 Cumulative Update for Windows Server 2016 for x64-based Systems (KB4343887)

  1. Vault sunucuda hizmeti kapatınız. PrivateArk Server programı ile servisi stop ediniz.
  2. Aşağıdaki Windows servislerini başlatınız:
    1. Windows Update
    2. Windows Module Installer
  3. Server 2012 ve 2016 için aşağıdaki prosedürü uygulayınız:
    1. Aşağıdak registry lokasyonuna gidiniz:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiserver
    2. “Start” anahtarının değerini 3 yapınız:
    3. Bu değişiklikten sonra Vault sunucunuzu yeniden başlatmanız gerekmektedir.
    4. Sunucu yeniden başladığında Windows Installer servisini başlatınız.
    5. Server 2016 kullanıyorsanız App Readiness servisinin değerlerini Otomatik olarak seçiniz ve servisi başlatınız.
  4. İlgili güncelleştirmeyi indirip Vault sunucuya kopyalayınız ve yükleyiniz.
  5. Yükleme sonrası başlattığınız servisleri durdurunuz ve hatta durumlarını disable ediniz:
    1. Windows Update
    2. Windows Module Installer
  6. Server 2012 ve 2016 için, tekrar aynı registry anahatarına ulaşınız ve bu kez değeri 4 olacak şekilde değiştiriniz. Bkz. 3.b
  7. Vault sunucunuzu restart ediniz.
  8. Server 2016 kullanıyorsanız App Readiness servisini durdurunuz ve devre dışı olacak şekilde değerini değiştirinizi.
  9. Sunucu restart edildiğinde Vault hizmetinizin başladığından emin olunuz başlamadıysa PrivateArk Server ile servisi start ediniz.
  10. Windows Servislerinde CyberArk Event Notification servisinin başladığından emin olunuz.

Eğer Hyper-V ortamında sanallaştırılmış sunucular kullanıyorsanız ve firmware güncelleştirmelerini; tüm sanal makinelerinizi kapatıp, sanal makinelerinizi başlatmadan uygulamanız gerektiğini unutmayınız.

  1. Privileged Threat Analytics (PTA) için yapmanız gerekenler

PTA v10.5.1 versiyonuna güncelleştirme yapmanız gerekmektedir. Bu versiyon gerekli işletim sistemi güncelleştirmeleri kapsamaktadır.

PTA güncelleştirmesi için:

  1. PTA imajının bir snapshot’ını alınız.
  2. PTA sistem konsoluna root kullanıcısı ile oturum açınız, root parolası PTA kurulumunda tanımladığınız paroladır.
  3. WinSCP veya benzeri bir araç ile aşağıdaki dosyaları /tmp dizinine kopyalayınız, dosyaların temini konusunda bizimle iletişim kurunuz:
    1. pta_upgrade.sh
    2. pta_upgrade-10.5.1.tgz
  4. sh dosyasının izinlerini değiştiriniz:
    chmod 700 /tmp/pta_upgrade.sh
  5. Komut satırında /tmp dizinine ulaşınız ve aşağıdaki komutu çalıştırınız:
    ./pta_upgrade.sh
  6. Eğer LDAPs üzerinden konfigüre edilmiş AD entegrasyonlu bir PTA ortamına sahipseniz, güncelleştirme esnasında domain sunucunuzun FQDN adresini yazmanız istenecektir.
  7. İşlem bitiminde PTA sunucunuzu yeniden başlatınız.

Güncelleştirme sonrası işlemler için PAS Installation Guide dökümanında, Upgrade PTA Server ve Post Upgrade Configuration adımlarını incelemek isteyebilirsiniz.

PTA Network Sensorleri için:

  1. WinSCP ile PTA Network sensorüne admin kullanıcısı ile bağlanınız
  2. /tmp/ dizinine aşağıdaki paketleri yükleyiniz:
    1. ag_pkg_v51.tgz
    2. ag_pkg_inst.sh
  3. PuttY veya benzeri bir uygulama ile SSH oturumu açınız.
  4. Admin kullanıcısının parolasını yazınız
  5. SU komutu ile root kullanıcısına geçiniz
  6. PTA sensor güncelleştirmesinin bulunduğu /tmp/ dizinine geçiniz
  7. Aşağıdaki komutu çalıştırınız:
    chmod +x *.sh
  8. Güncelleştirme paketini uygulamak için:
    ./ag_pkg_inst.sh
  9. Güncelleştirme sihirbazında çıkan adımları takip ederek tamamlayınız. Tüm adımların tamamlandığı sorulduğunda “Y” ile onaylayınız.
  10. Doğrulama işlemi de tamamlandığında, sunucuyu yeniden başlatınız.

 

Her zaman en güncel versiyonda olmanız gerektiğini hatırlatır. Güncelleme ve healthcheck çalışmaları için bizlere helpdesk@biznet.com.tr adresinden ulaşabilirsiniz.

emrecan.lekesiz
Yazar: emrecan.lekesiz