Linux-VMs unter VMware ESXi verlieren durch einen Fix gegen Retbleed im aktuellen Linux-Kernel bis zu 70 Prozent an Rechenleistung.
Durch einen Fix gegen Retbleed, eine Sicherheitslücke der Spectre-Familie in vielen modernen CPUs, verlieren Linux-VMs unter VMware ESXi bis zu 70% an Rechenleistung. Zwar lässt sich der Fix durch einen Kernel-Boot-Parameter umgehen, doch ermöglicht dies potenziellen Angreifern weiterhin, Seitenkanalangriffe auf betroffenen Systemen auszuführen.
Bis zu 70 % weniger Leistung ab Linux-Kernel Version 5.19
Wie Manikandan Jagatheesan, Performance Engineer bei VMware, mitteilte, führt ein Update des Linux-Kernels auf Version 5.19 zu einem Leistungsabfall von bis zu 70% in Linux-VMs auf ESXi. Die Ursache sieht das Team von VMware in einem Commit, mit dem ein Entwickler das Risiko für die Ausnutzung der spectre_v2-Schwachstelle, auch bekannt als Retbleed, zu reduzieren versuchte.
Die Leistungseinbußen reichen von 70% bei der Rechenleistung und 30% bei der Netzwerkleistung bis hin zu 13% bei der Speicherleistung betroffener Systeme. Doch durch den Kernel-Boot-Parameter „spectre_v2=off“ lässt sich die neue Funktion deaktivieren und die Leistung der VMs vollständig wiederherstellen. Das bestätigt, dass der zugehörige Commit 6ad0ad2bf8a6 („x86/bugs: Report Intel retbleed vulnerability“) die einzige Ursache für die festgestellten Leistungsverluste ist. Dennoch hat die Deaktivierung der Funktion auch Nachteile. Denn die betroffenen Systeme sind infolgedessen, sofern sie auf bestimmte CPU-Modelle setzen, weiterhin anfällig für die Ausnutzung von Retbleed.
Retbleed ermöglicht Seitenkanalangriffe durch spekulative Ausführung der CPU
Quelle: Wikipedia
Retbleed gehört zur sogenannten Spectre-Familie, einer Sammlung von Sicherheitslücken in zahlreichen CPUs. Mit einer Retpoline genannten Softwarelösung sollte die erste Generation von Spectre mit nur minimalem Leistungsverlust entschärft werden. Durch Retbleed können Angreifer Retpoline jedoch umgehen, was zahlreiche weitverbreitete CPU-Generationen wieder anfällig macht.
Die im Juli 2022 entdeckte Sicherheitslücke macht sich die spekulative Ausführung des Prozessors zunutze. Diese sorgt in modernen CPUs für eine deutliche Leistungssteigerung, da sich Berechnungen bereits durchführen lassen, bevor das System sie anfordert. Jedoch ermöglicht die spekulative Ausführung auch Seitenkanalangriffe. Daher ist es mit Retbleed möglich, Speicherinhalte auszulesen, die eigentlich geschützt sein sollten. Darunter auch Passwort-Hashes, mit denen sich Angreifer höhere Rechte im System verschaffen können.
Retbleed wirkt sich auf eine Reihe moderner Prozessor-Generationen aus. CPUs der Serien AMD Zen 1, Zen 1+, Zen 2 und Intel Core Generation 6, 7 und 8 sind mitunter betroffen. Sowohl AMD als auch Intel stellen auf ihren Webseiten weitere Informationen zu den betroffenen CPUs zur Verfügung.
