VMware advierte que las máquinas virtuales ESXi que se ejecutan en Linux kernel 5.19 pueden tener una caída de rendimiento de hasta un 70 % cuando las mitigaciones Retbleed están habilitadas en comparación con la versión Linux kernel 5.18.
Más específicamente, el equipo de rendimiento de VMware notó regresiones en las máquinas virtuales ESXi de hasta un 70 % en computación, un 30 % en redes y un 13 % en almacenamiento.
A partir de las pruebas de VMware, quedó claro que la degradación repentina y muy significativa fue causada por la introducción de mitigaciones para la vulnerabilidad “Retbleed”.
“Después de realizar la bisección entre el kernel 5.18 y el 5.19, identificamos que la causa principal es la habilitación de la mitigación de IBRS para la vulnerabilidad spectre_v2 mediante la confirmación 6ad0ad2bf8a6 (“x86/bugs: informe de la vulnerabilidad Intel retbleed”)”.
VMware descubrió que deshabilitar la mitigación de seguridad Retbleed a través del spectre_v2=offparámetro de arranque del kernel ” ” restauró el rendimiento de la máquina virtual Linux a los niveles de la versión 5.18, lo que confirma que las correcciones son la única razón detrás de la caída del rendimiento.
Sin embargo, deshabilitar las mitigaciones se consideraría un riesgo de seguridad, ya que los sistemas serían vulnerables a ataques cibernéticos en ciertos modelos de CPU.
Retbleed es un ataque de ejecución especulativa descubierto en julio de 2022 que puede aprovechar las instrucciones de devolución en la CPU para extraer información confidencial.
Los ejemplos de datos que Retbleed puede filtrar incluyen elementos contenidos en la memoria del kernel, como hashes de contraseña de raíz, como se ilustra en el video a continuación.
La ejecución especulativa es una función que mejora el rendimiento en los procesadores modernos, lo que permite que las CPU realicen cálculos antes de que se soliciten, lo que reduce el tiempo necesario para completarlos.
Esta función de aumento del rendimiento tiene consecuencias negativas desde la perspectiva de la seguridad porque hace posibles los ataques de canal lateral.
Un caso notable de esto es “Spectre”, que se mitigó con la solución “Retpoline”, una solución basada en software que tuvo un impacto mínimo en el rendimiento.
Retbleed es, de hecho, no solo una omisión de la corrección de Retpoline, sino un abusador de la mitigación, apuntando a las operaciones de retorno para inyectar objetivos de rama en el espacio de direcciones del kernel.
Desafortunadamente, la mitigación de Retbleed de Linux en la versión 5.19 del kernel ha tenido un efecto perjudicial en el rendimiento, lo que podría generar una amplia gama de problemas comerciales en los sistemas de producción y la infraestructura de la nube.
Retbleed afecta a las CPU Intel Core desde la generación 6 (Skylake – 2015) hasta la 8 (Coffee Lake – 2017) y los procesadores AMD Zen 1, Zen 1+ y Zen 2 lanzados entre 2017 y 2019, que aún están omnipresentes en los sistemas de servidor.
Con tal caída en el rendimiento, muchos administradores de sistemas que creen que Retbleed es más una amenaza teórica que real para sus sistemas estarán abiertos a aceptar el compromiso de deshabilitar las mitigaciones.
Por ahora, el equipo de desarrollo del kernel de Linux no ha discutido el impacto masivo en el rendimiento ni ha prometido revisar las mitigaciones e implementar una solución más “quirúrgica”, por lo que la situación sigue siendo riesgosa.
