Companies Respond to ‘Downfall’ Intel CPU Vulnerability
2023/08/18 SecurityWeek — 先日に公表された Intel CPU の脆弱性 Downfall に対して、複数の大手企業がセキュリティ・アドバイザリ発表した。Google の研究者により発見され、CVE-2022-40982 として追跡されている Downfall には、サイドチャネル攻撃を引き起こす可能性がある。その悪用に成功したローカルの攻撃者には、パスワードや暗号化キーなどの機密性の高い情報を、対象となるデバイスから取得する可能性が生じるという。クラウド環境も影響を受けることになり、Web ブラウザ経由でリモート攻撃などが起こるかもしれないが、そのような攻撃を実証するには、さらなる研究が必要だという。
この 10年間にリリースされた Intel Core/Xeon プロセッサーが、この問題の影響を受けることになる。そのため同社は、この脆弱性に対応するための、ファームウェア・アップデートと緩和策をリリースしている。
この欠陥は Intel プロセッサーのメモリー最適化機能に起因し、Gather Data Sampling (GDS) と Gather Value Injection (GVI) という、2つのテクニックを悪用する攻撃の原因となる。
GDS の手法は “非常に実用的” と評価されており、Google の研究者たちは、OpenSSL から暗号化キーを窃取できる PoC エクスプロイトを作成した。
Downfall の脆弱性は、2023年8月8日に公表されて以来、いくつかの組織からアドバイザリが発表されている。
OpenSSL
OpenSSL Project は 8月15日のブログで、「Downfall 攻撃は OpenSSL に対して検証が行われたが、これは極めて一般的なマイクロ・アーキテクチャのサイドチャネル攻撃であり、本質的にあらゆるソフトウェアのセキュリティを脅かす可能性があるため、これは OpenSSL の脆弱性ではない」と指摘している。
同社は、「OpenSSL は多くの暗号プリミティブを x86 SIMD 命令を使って高速に実装している。そのため、オペレーターが OpenSSL を使って、暗号オペレーションを実行しているプロセスに対して、この脆弱性を使った攻撃を実行するケースが考えられる。その犠牲となったプロセスで、SIMD 命令を使って処理される可能性が高く、引き出される情報には暗号化キーや平文が含まれと考えられる。言い換えると、鍵材料やその他の暗号材料に対するリスクが、特に高いということだ」と説明している。
AWS/Microsoft Azure/Google Cloud
AWS:顧客のデータやクラウドインスタンスは Downfall の影響を受けておらず、対策の必要はないとしており、「この種の問題に対する保護を備えたインフラを設計/実装している」と述べている。
Microsoft:この脆弱性にパッチを当てるためのアップデートを Azure インフラに展開したと述べた。自動アップデートを停止している顧客を除き、ほとんどの場合、ユーザーは何もする必要はないとのことだ。
Google Cloud:同社はサーバー群に利用可能なパッチを適用し、顧客による対応は必要ないと述べている。ただし、一部の製品については、パートナーやベンダーからの追加アップデートが必要となっている。
Cisco
Cisco によると、同社の UCS B-Series M6 ブレードサーバーと UCS C-Series M6 ラックサーバーは、Downfall 攻撃に対して脆弱な Intel CPU を使用しているという。
Citrix
Citrix は、脆弱性 CVE-2022-40982 が、脆弱な Intel CPU 上で動作する Citrix Hypervisor にのみ影響することを顧客に通知した。
Dell
Dell は、Alienware/ChengMing/G series/Precision/Inspiron/Latitude/OptiPlex/Vostro/XPS コンピュータの BIOS パッチをリリースした。
HP
HP は、ビジネス/コンシューマ向け PC/ワークステーション/リテール POS システム向けに、Downfal lに対応する SoftPaq のリリースを開始した。
Lenovo
Lenovo は、オールインワンを含むデスクトップ PC/ノート PC/サーバー/アプライアンス向けに、脆弱性に対応した BIOS アップデートのリリースを開始した。
NetApp
NetApp は、複数の製品が Intel チップを搭載しており、どの製品が影響を受けるか確認中であるとしている。現時点までに、一部の AFF/FAS ストレージ・システムが影響を受けていることを確認しているが、いくつかの製品については分析中とのことだ。
OVH
クラウド大手の OVH は、Downfall が OVHcloud 製品に影響を与えることを確認し、この脆弱性の対応措置と、管理者が実施すべき措置をまとめている。
SuperMicro
SuperMicro は、セキュリティ・アップデートをリリースし、Downfall を含む最近 のIntel ファームウェア・パッチについてユーザーに知らせるとともに、脆弱性に対応した BIOS アップデートの開発を発表した。
VMware
VMware は、hypervisor が CVE-2022-40982 の影響を受ける可能性があることを顧客に通知した。影響を受ける場合は、ハードウェア・ベンダーからファームウェアのアップデートを入手する必要がある。
Xen
Xen は、脆弱性のある Intel 製 CPU を搭載したデバイス上で稼働している場合、その hypervisor の全バージョンが影響を受けると述べている。ハードウェア・ベンダーからのファームウェア・アップデートの推奨に加えて、同組織は緩和策を提供しているが、パフォーマンスに大きな影響を与える可能性があると警告している。
Linux distributions
いくつかの Linux ディストリビューションが、 Intel プロセッサーを使用しているシステムに対するアドバイザリ/パッチ/緩和策などをリリースしている。このリストには、SUSE/CloudLinux/RedHat/Ubuntu/Debian が含まれている。
かなりの広範囲に、影響を及ぼす事態になっていますね。文中には、「この 10年間にリリースされた Intel Core/Xeon プロセッサーが、この問題の影響を受けることになる」と記されているので、仕方のないことだと思います。こ件に関しては、2023/08/09 の「最新の CPU に新たなサイドチャネル脆弱性:Collide+Power/Downfall/Inception とは?」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.