Retbleed : une baisse des performances de 70% sur les VM Linux sous VMware ESXi
VMware alerte ses utilisateurs de la solution VMware ESXi sur la baisse des performances constatées sur les machines virtuelles avec le noyau Linux 5.19. Cette baisse peut atteindre 70% lorsque les mesures d'atténuation contre la faille de sécurité Retbleed sont activées.
Chez VMware, l'équipe chargée d'analyser les performances a constaté une baisse importante sur les machines virtuelles ESXi allant jusqu'à 70% sur le compute, 30% sur le réseau et 13% sur le stockage. Ces chiffres sont le résultat de la comparaison des performances entre une VM Linux avec le noyau 5.18 et une VM Linux avec le noyau 5.19. Cette dégradation des performances très importante est directement liée à la vulnérabilité "Retbleed" et à la mise en place des mesures d'atténuation pour se protéger contre cette faille de sécurité.
VMware a constaté qu'en désactivant les mesures d'atténuation liées à la vulnérabilité Retbleed, cela a rétabli les performances de la VM Linux. Pour être plus précis, ceci implique de configurer l'option "spectre_v2=off" dans les paramètres de démarrage du noyau. Ce paramètre se gère sur la VM Linux en elle-même. Néanmoins, le fait de retirer cette sécurité expose la machine à des attaques, en fonction du modèle de processeur (voir ci-dessous).
Qu'est-ce que la vulnérabilité Retbleed ?
Découverte en juillet 2022, la faille de sécurité Retbleed touche les processeurs et elle permet à un attaquant d'extraire des informations sensibles, comme le hash du mot de passe root, par exemple. En fait, cette vulnérabilité est liée à la célèbre faille Spectre et elle permet de contourner Retpoline, une solution visant à protéger des attaques spectres de type 2. On peut dire que Retbleed est une faille de type Spectre.
Au niveau des processeurs impactés par Retbleed, il y a les modèles Intel Core de la génération 6 (Skylake - 2015) à la génération 8 (Coffee Lake - 2017), ainsi que les processeurs AMD Zen 1, Zen 1+ et Zen 2 sortis entre 2017 et 2019. Autant vous dire qu'il n'est pas rare de croiser des serveurs avec ces générations de processeurs.
Ici, c'est l'exemple de VMware qui est cité, mais c'est certain qu'il y a un impact sur les performances sur les autres plateformes.