Wiz Says 62% of AWS Environments Exposed to Zenbleed Exploitation
2023/07/26 SecurityWeek — AWS 環境の 62% パーセントが、新たに文書化された AMD Zen 2 プロセッサの、Zenbleed 情報漏洩脆弱性にさらされている可能性があると、クラウド・セキュリティ企業 Wiz の研究者たちが報告している。7月23日 (水) に投稿されたリサーチ・ノートにおいて、AWS 環境の 60% 以上が Zen 2 CPU を搭載した EC2 インスタンスを実行しているため、use-after-free メモリ破損バグの影響を受ける可能性があると、Wiz は算出している。
Zenbleed と名付けられた脆弱性は、Project Zero の Tavis Ormandy が発見し、文書化したものであり、Ryzen 3000/4000/5000/7020/Epyc などの、すべての Zen 2 プロセッサに影響を与えるものだ。この脆弱性の悪用に成功したハッカーたちが、パスワードや暗号化キーなどの機密データを盗み出す可能性があるという。 なお、この脆弱性は、CVE-2023-20593 として追跡されている。
既報の通り、AMD はマイクロコード・アップデートをリリースし始め、 AGESA ファームウェア・アップデートを適用するよう顧客に勧告している。一部の製品については、2023年 Q4 にアップデートが提供される見込みだ。
Wiz の研究者たちは、非特権アクセス権を持つ攻撃者により、この脆弱性が悪用されると、特権への昇格やデータへのアクセスが可能になると指摘し、警告を強化している。
Wiz がデータを精査した結果、クラウド環境の大半において、データセンター向けに設計された CPU である Epyc サーバ (Rome) が利用されていることが判明したという。
さらに Wiz は、Google Cloud Platform (GCP) ではパッチの適用が可能だが、AWS ではテストが完了した後に、修正プログラムがリリースされる見込みであると述べている。
このブログに、AMD に関する記事が登場するのは3度目であり、2022/06/15 の「Hertzbleed サイドチャネル攻撃:Intel/AMD の最新 CPU から暗号化キーが漏れる」と、2022/06/28 の「AMD から 450GB のデータが盗まれた:RansomHouse というギャングが犯行声明」に続くものになります。そして、今回に関しては、AWS への影響が懸念されていますが、他のクラウド・サービスは大丈夫なのでしょうか?
You must be logged in to post a comment.