CTS-Labs는 AMD의 Ryzen 및 EPYC 칩에서 Spectre와 같은 취약점을 발견했습니다.
CTS-랩,[1] 이스라엘에 기반을 둔 알려지지 않은 보안 회사가 AMD의 Ryzen 및 EPYC 칩에 심각한 CPU 결함이 있다고 보고했습니다. 회사는 범죄자들이 맬웨어를 주입하고 개인 데이터를 유출할 수 있는 13개의 취약점을 발견했다고 주장합니다.
회사는 결함이 가장 보호되어야 하는 부품에 있기 때문에 AMD 프로세서의 취약성이 엄청나게 우려된다고 주장합니다. 취약한 부분에는 비밀번호, 로그인 정보, 암호화 키 등 개인 정보가 포함되어 있습니다. 누출되면 심각한 손상을 초래할 수 있습니다.
지난 몇 달 동안 IT 관련 뉴스 사이트와 포럼에는 Spectre 및 Meltdown 취약점에 대한 경고가 깜박입니다.[2] 수백만 명의 Intel, AMD 및 기타 최신 프로세서 사용자의 사이버 공격에 높은 위험을 초래합니다. 현재 AMD의 취약점이 또 다른 심각한 위협인지 여부는 여전히 논쟁의 여지가 있는 질문입니다.
CTS-Labs는 AMD에게 취약점을 확인하기 위해 24시간을 주었습니다.
각 회사가 분석해야 하는 취약점의 표준 기한은 90일입니다. 기간 내에 결함에 대한 책임이 있는 회사는 실제 테스트 결과가 준비될 때 문제에 대해 논평하지 않고 문제를 승인하거나 거부할 권리가 있습니다.
Ryzen 및 EPYC 칩의 보안 취약점이 있는 경우 AMD는 24시간 이내에 프로세서 상태를 확인해야 합니다.[3] 치명적인 결함을 수정하는 하루는 문제를 적절하게 해결하거나 최소한 실제 여부를 확인하기에 충분하지 않습니다. 악명 높은 Spectre 및 Meltdown 패치도 Google 연구원의 요구를 대신하여 6개월 내에 해결되어야 합니다.
이번 조사를 통해 취약점의 심각성으로 인해 이러한 빠른 대응이 필요한지 아니면 CTS-Labs의 근거 없는 변덕에 불과한 것인지 밝혀질 것으로 예상됩니다. AMD 회사는 즉시 대응하여 발견된 모든 문제를 확인하겠다고 약속했지만 CTS-Labs의 신뢰성에 대한 언급을 자제하지 않았습니다.
보안 회사가 조사 결과를 조사하고 처리할 합리적인 시간을 제공하지 않고 언론에 조사 결과를 발표하는 것은 이례적인 일입니다.
처음에는 조롱했지만 문제는 실제로 승인되었습니다.
CTS Labs 테스트 결과의 공개는 처음에 IT 전문가들 사이에서 다른 의견을 촉발했습니다. 그들 대부분은 설립을 승인하지 않았고 전체 프로젝트를 "조롱"했습니다. Linux의 창시자인 Linus Torvalds는 AMD의 Ryzen 및 EPYC 칩에 대한 주장을 반박하려는 활동적인 인물 중 하나였습니다. 그는 Google + 토론에서 다음과 같이 말했습니다.
기본적으로 'BIOS나 CPU 마이크로코드를 잘못된 버전으로 교체하면 보안 문제가 생길 수 있다'는 보안 권고를 마지막으로 본 것이 언제였습니까? 응.
나중에 그는 이렇게 덧붙였다.
모든 하드웨어 공간에서 결함을 발견했습니다. 어떤 장치도 안전하지 않습니다. 장치에 물리적으로 액세스할 수 있는 경우 장치를 들고 나가기만 하면 됩니다. 나는 아직 보안 전문가입니까?
하지만 AMD는 현 상황에 발빠르게 대응했고, 놀랍게도 상대방에게는 보안 결함이 실재한다고 인정했습니다. 회사 연구원 중 한 명인 Dan Guido는 다음과 같이 결함을 확인했습니다.[4]
릴리스에 대한 과대 광고에 관계없이 버그는 실제이며 기술 보고서(공개 afaik이 아님)에 정확하게 설명되어 있으며 익스플로잇 코드가 작동합니다.
Ryzenfall, Master Key, Fallout 및 Chimera. 이러한 결함의 위험은 무엇입니까?
Ryzenfall, Master Key, Fallout 및 Chimera로 명명된 AMD의 Ryzen 프로세서 및 EPYC 서버 프로세서에서 드러난 보안 결함은 아직 범죄자가 악용하지 않은 것으로 보입니다.
이러한 결함의 위험은 다소 과장되어 있습니다. 악성코드 주입 및 데이터 유출에 악용하려면 범죄자에게 관리자 권한이 필요합니다. 결함이 확산될 것으로 예상되지는 않지만 PC에 대한 관리 액세스 권한이 있는 사기꾼은 대상 장치에서 거의 모든 작업을 수행할 수 있습니다.[5]
따라서 결함에 대한 최신 뉴스를 확인하고 AMD 프로세서 패치가 포함된 BIOS 업데이트를 설치하는 것이 좋습니다.