VMware 警告:Linux ESXi VM の性能が Retbleed 緩和により 70% ダウン

VMware: 70% drop in Linux ESXi VM performance with Retbleed fixes

2022/09/12 BleepingComputer — VMware は、Linux kernel 5.19 で動作するESXi VM について、Retbleed 緩和機能を有効にした場合に Linux kernel 5.18 版と比較して、最大で 70% の性能低下を引き起こす可能性があると警告している。VMware のパフォーマンス・チームは、ESXi 仮想マシンにおいて、コンピューティングで最大 70%/ネットワーキングで 30%/ストレージで 13% の性能低下を検知している。

VMware におけるテストによる、この突然の非常に大きな劣化は、Retbleed 脆弱性に対する緩和策の導入が原因であることが判明している。

VMware は、「カーネル 5.18 と 5.19 を比較した結果、コミット 6ad0ad2bf8a6 (x86/bugs: Report Intel retbleed vulnerability) による spectre_v2 脆弱性の IBRS 緩和の有効化が、根本的な原因であると特定した」と説明している。

VMware は、カーネルブート・パラメータ spectre_v2=off を用いて Retbleed セキュリティ緩和を無効にすると、Linux VM 5.19 のパフォーマンスが 5.18 の水準に回復することを確認し、この修正プログラムがパフォーマンス低下の理由であることを確認した。

しかし、特定の CPU モデルでは、対象システムがサイバー攻撃を受けやすくなるため、緩和策を無効にすることはセキュリティ・リスクと見なされる。

コストのかかるトレードオフ

Retbleed とは、2022年7月に発見された投機的実行攻撃で、CPU のリターン命令を利用して機密情報を抜き取ることが可能になるものだ。Retbleed により漏えいするデータの例として、以下の動画が示すように、ルートパスワードのハッシュなどの、カーネルメモリに含まれる項目が挙げられる。

投機的実行とは、最新プロセッサでの性能向上のための機能であり、CPU が要求される前に計算を実行し、完了までに必要な時間を短縮することを可能するものだ。

この性能向上機能は、サイドチャネル攻撃を許す可能性があるため、セキュリティの観点からはネガティブなな結果をもたらす。その顕著な例が Spectre であり、Retpoline というソフトウェアによる修正で緩和されたが、性能への影響は最小限であった。

実際のところ Retbleed は、Retpoline 修正のバイパスだけではなく、緩和策の悪用であり、カーネル・アドレス空間内にブランチ・ターゲットを注入するために、リターン・オペレーションをターゲットにしている。

残念ながら、カーネル・バージョン 5.19 における Linux の Retbleed の緩和策は、パフォーマンスに悪影響を及ぼし、その結果として、プロダクション・システムやクラウド・インフラ上で、さまざまな問題を発生させる可能性がある。

Retbleed は、第6世代 (Skylake – 2015) から第8世代 (Coffee Lake – 2017) までのIntel Core CPUと、2017年〜2019年にリリースされた AMD Zen 1/Zen 1+/Zen 2 プロセッサーに影響を与える。それらと搭載するサーバ・システムには、いまも遍在している。

このような性能低下により、Retbleed がシステムにとって現実的な脅威というよりも、理論的な脅威と考える多くのシステム管理者は、緩和策を無効にするトレードオフに前向きになるだろう。

現時点において、Linux カーネル開発チームは、パフォーマンスへの大きな影響について議論しておらず、緩和策の再検討/修正を約束していないため、この状況は依然として危険なままである。

まず Retbleed ですが、すでに Wikipedia で解説されていますが、最近の Intel および AMD チップを含む、x86-64 および ARM プロセッサに対する投機的実行攻撃のことです。2022 年に公開されたのは、投機的実行攻撃の緩和を目的とした retpoline を悪用する Spectre 脆弱性の亜種と記されています。また、CVE-2022-29900/CVE-2022-29901/CVE-2022-28693 も記載されています。そして、Retbleed 緩和機能を有効にした場合に、Linux kernel 5.18 版で動作する ESXi VM と比較して、5.19 で動作するESXi VM は、コンピューティング性能が最大 70% もダウンしてしまうそうです。

%d bloggers like this: