Introdurre dei correttivi al proprio ecosistema nella speranza di migliorare il TCO senza doversi imbarcare in complesse ristrutturazioni è l’obiettivo di molti data center, e Intel, con la sua tecnologia Optane, promette proprio questo. In particolare Intel Optane SSD, nella variante DC (dedicata ai Data center), combina controller di memoria e storage veloci allo stato solido per eliminare il collo di bottiglia tipico degli storage “meccanici” di grandi dimensioni, e così facendo accelera complessivamente le applicazioni e riduce i carichi di lavoro sulle transazioni. 

Ma l’hardware non è solo un “pezzo di ferro”; perché funzionino, i dispositivi hanno del software che gestisce la complessità interna con cui questi oggetti sono realizzati. Questo particolare software è detto firmware. I primi firmware erano posti (da cui il termine) in memorie a sola lettura (ROM) per cui un aggiornamento richiedeva la sostituzione del componente: oggi l’aggiornamento del firmware è cosa più semplice (e frequente) grazie a sistemi di memoria più malleabili (EEPROM e Flash Memory), per cui il costruttore del dispositivo può fornire versioni del firmware aggiornate, correttivi (patch) ed altro, esattamente come qualsiasi altro software di più alto livello. 

Con l’avviso https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00563.html del 10 maggio 2022, Intel segnala l’urgenza di correggere il firmware di alcuni suoi prodotti della famiglia Optane, proprio perché afflitti da problemi di sicurezza. 

Si tratta di vulnerabilità di gravità elevata (CVSS dal 7.3 al 7.9) che possono condurre ad Escalation of Privilege (EoP) o a Denial of Service (DoS). A corollario, Intel avvisa anche di vulnerabilità per gli stessi prodotti che consentono l’esposizione di informazioni, ma queste hanno indubbiamente gravità minore, benché consentite ad utenti non autenticati (il che le rende comunque “interessanti”). 

Le vulnerabilità più importanti sono la CVE-2021-33069, la CVE-2021-33075, la CVE-2021-33077, e la CVE-2021-33078 e la CVE-2021-33080 (che comunque consente al minimo un’esposizione di informazioni sensibili anche ad utenti non autenticati), ossia quelle capaci di rendere possibile EoP e DoS. 

Le altre vulnerabilità segnalate, comunque valutate con CVSS medi tra il 5.3 e il 6.8, sono la CVE-2021-33074, la CVE-2021-33082 e la CVE-2021-33083. Tutte riguardano la potenziale esposizione di dati sensibili del dispositivo, prevalentemente per utenti non autenticati e locali (ossia con accesso fisico), tranne per il caso della CVE-2021-33083 che necessita al minimo un utente privilegiato con accesso locale, il che la porta al livello più basso di valutazione (è una condizione lontana da un agente di minaccia che non abbia già penetrato il perimetro stabilmente). 

Insomma, il software è software, e come tale può contenere errori, e gli errori possono portare a rischi di sicurezza: ovunque sia un software, lì c’è un rischio di sicurezza, pertanto le precauzioni e le prassi che migliorino il livello di sicurezza devono essere applicate ovunque. 

Oggi siamo stati agevolati dal fatto che il vendor ci ha avvisato, ma è evidente che il rischio sarebbe stato più alto, in quanto difficilmente, nelle prassi di sicurezza diffuse, avremmo visto attuare strategie di monitoraggio e contenimento di rischi associati con tale livello di oggetti nell’infrastruttura, prassi quasi sempre sbilanciate sul livello più alto, quello applicativo. 

Tweet