CTS-Labs menemukan kerentanan seperti Spectre di chip Ryzen dan EPYC AMD
CTS-Lab,[1] sebuah perusahaan keamanan tidak dikenal yang berbasis di Israel, melaporkan kerusakan CPU yang parah pada chip Ryzen dan EPYC AMD. Perusahaan mengklaim telah mengungkapkan 13 kerentanan yang memungkinkan penjahat untuk menyuntikkan malware dan membocorkan data pribadi.
Perusahaan mengklaim bahwa kerentanan prosesor AMD sangat mengkhawatirkan karena kelemahannya berada di bagian yang seharusnya paling terlindungi. Bagian yang rentan berisi informasi pribadi, termasuk kata sandi, informasi login, kunci enkripsi, dll. kebocoran yang akan menyebabkan kerusakan parah.
Selama beberapa bulan terakhir, situs dan forum berita terkait IT berkedip-kedip dengan peringatan tentang kerentanan Spectre dan Meltdown,[2] yang menimbulkan risiko tinggi bagi jutaan Intel, AMD, dan pengguna prosesor modern lainnya dari serangan dunia maya. Apakah kerentanan AMD saat ini merupakan ancaman parah lainnya masih menjadi pertanyaan yang bisa diperdebatkan.
CTS-Labs memberi AMD 24 jam untuk memeriksa kerentanan
Batas waktu standar untuk kelemahan yang akan dianalisis oleh masing-masing perusahaan adalah 90 hari. Dalam jangka waktu tersebut, perusahaan yang bertanggung jawab atas cacat tersebut memiliki hak untuk tidak mengomentari masalah tersebut dan menyetujui atau menolak masalah tersebut ketika hasil tes yang sebenarnya disiapkan.
Dalam hal kerentanan keamanan pada chip Ryzen dan EPYC, AMD telah diminta untuk memverifikasi kondisi prosesornya dalam waktu 24 jam.[3] Sehari untuk memperbaiki kelemahan kritis tidak cukup untuk mengatasi masalah secara memadai atau, setidaknya, periksa apakah itu nyata. Bahkan patch Spectre and Meltdown yang terkenal harus ditangani dalam enam bulan atas permintaan peneliti Google.
Investigasi yang sedang berlangsung diharapkan untuk mengungkapkan apakah respons cepat seperti itu diperlukan karena keseriusan kerentanan atau itu hanya keinginan CTS-Labs yang tidak berdasar. Perusahaan AMD segera bereaksi dan berjanji untuk memeriksa semua masalah yang ditemukan, tetapi tidak menahan diri untuk mengomentari ketidakpercayaan CTS-Labs:
tidak biasa bagi perusahaan keamanan untuk mempublikasikan penelitiannya kepada pers tanpa memberikan waktu yang wajar bagi perusahaan untuk menyelidiki dan menangani temuannya.
Awalnya diejek, masalah itu disetujui untuk menjadi nyata
Pengungkapan hasil tes CTS Labs awalnya memicu pendapat yang berbeda di antara para spesialis TI. Kebanyakan dari mereka tidak menyetujui pendirian dan "mengejek" seluruh proyek. Linus Torvalds, pencipta Linux, adalah salah satu tokoh aktif yang mencoba membantah klaim tentang chip Ryzen dan EPYC AMD. Dia mengatakan dalam diskusi Google+:
Kapan terakhir kali Anda melihat nasihat keamanan yang pada dasarnya adalah 'jika Anda mengganti BIOS atau mikrokode CPU dengan versi jahat, Anda mungkin mengalami masalah keamanan?' Ya.
Kemudian dia menambahkan:
Saya baru saja menemukan cacat di semua ruang perangkat keras. Tidak ada perangkat yang aman: jika Anda memiliki akses fisik ke perangkat, Anda cukup mengambilnya dan pergi. Apakah saya sudah ahli keamanan?
Namun, AMD dengan cepat menanggapi situasi saat ini dan, yang mengejutkan pihak lawan, mengakui bahwa kelemahan keamanan itu nyata. Dan Guido, salah satu peneliti perusahaan, mengkonfirmasi kekurangannya:[4]
Terlepas dari hype seputar rilis, bug itu nyata, dijelaskan secara akurat dalam laporan teknisnya (yang bukan afaik publik), dan kode eksploitnya berfungsi.
Ryzenfall, Master Key, Fallout, dan Chimera. Apa bahaya dari kekurangan ini?
Dijuluki sebagai Ryzenfall, Master Key, Fallout, dan Chimera, kelemahan keamanan yang terungkap dalam prosesor Ryzen AMD, dan prosesor server EPYC tampaknya belum dieksploitasi oleh penjahat.
Bahaya dari kekurangan ini agak dilebih-lebihkan. Ternyata untuk mengeksploitasi mereka untuk injeksi malware dan kebocoran data, penjahat membutuhkan hak administratif. Meskipun kelemahannya tidak diharapkan menjadi liar, penjahat yang mungkin memiliki akses administratif ke PC dapat melakukan apa saja pada perangkat yang ditargetkan.[5]
Oleh karena itu, disarankan untuk tetap mengikuti berita terbaru tentang kelemahan tersebut dan menginstal pembaruan BIOS yang berisi tambalan prosesor AMD.