Actualización de FW requerida por vulnerabilidad en IBM PowerVM (Power9 y Power10)

Queremos informar a todos nuestros clientes (y lectores) de que se ha identificado un bug en PowerVM que podría suponer un problema de seguridad en los sistemas Power9 y Power10. El riesgo principal es que un actor malicioso con privilegios de usuario en una partición lógica pueda comprometer el aislamiento entre particiones lógicas sin ser detectado. Esto podría dar lugar a la pérdida de datos o a la ejecución de código no autorizado en otras particiones lógicas (LPARs) en el mismo servidor físico. Los detalles técnicos se encuentran en https://www.ibm.com/support/pages/node/6993021

¿Todos los servidores Power están en riesgo?

No. Solo algunos modelos de IBM Power9 o Power10 están en riesgo y siempre dependiendo de sus versiones de FW. Los servidores anteriores a Power9 y aquellos que ejecutan firmware OP9xx no están expuestos a esta vulnerabilidad. No hay evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado en ningún cliente de IBM pero siempre es mejor prevenir que curar :)

¿Cuándo y quíen encontró esta vulnerabilidad?

La vulnerabilidad fue identificada por IBM de manera interna. Ya se ha creado y probado a fondo una solución, que fue lanzada el 17 de mayo en Fix Central.

¿Qué se recomienda a los clientes?

Los clientes deben seguir las instrucciones en Fix Central para descargar e instalar el firmware actualizado.

¿Cuál sería el impacto para los entornos productivos?

La principal preocupación es la posibilidad de que se produzca una fuga de datos o que se ejecute código no autorizado en otras particiones lógicas del mismo servidor físico. No hemos encontrado ninguna evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado.

¿Hay ciertos entornos que son más vulnerables que otros?

IBM no puede especificar cuáles entornos de clientes podrían estar en mayor riesgo ya que el acceso a las particiones es controlado por el cliente. Sin embargo, cualquier entorno en el que se haya otorgado acceso de usuario con privilegios a una o más particiones debe considerarse como potencialmente vulnerable. Es decir, entornos con alta densidad de LPARs, donde se mezclen sistemas productivos y de pruebas tienen mayores posibilidades de sufrir esta vulnerabilidad.

¿Puede aplicarse el parche sin parar los equipos?

El firmware que contiene la solución puede instalarse de manera concurrente y solucionará esta vulnerabilidad en todos los sistemas, a excepción de un sistema Power10 que esté ejecutando un firmware anterior a FW1010.10. En este caso, la solución deberá aplicarse de manera disruptiva, requiriendo que el servidor sea apagado para instalar la actualización y eliminar la vulnerabilidad.

¿Qué tipo de particiones pueden estar afectadas?

Cualquier servidor IBM Power9 o Power10 mencionado en el boletín de seguridad que tenga múltiples particiones podría verse afectado. No importa cómo se hayan creado o gestionado estas particiones.

¿Se encuentra el ambiente Power Virtual Server (Power VS) de IBM en riesgo?

La vulnerabilidad también afectó a la oferta de Power Systems Virtual Server en IBM Cloud (Power VS), pero ya se ha aplicado el parche para remediarlo.

¿Necesitas ayuda con el mantenimiento preventivo de tus sistemas IBM Power?

Contacta con nosotros e infórmate de nuestro servicio de mantenimiento preventivo y soporte 24/7