The Meltdown and Spectre 은  Intel 프로세서의 근본적인 설계 결함으로 인해 운영체제에서 중요한 정보를 노출시킬수 있는 취약점 입니다.

1월 3일, Google Project Zero은 보안 취약점 노트 VU#584653 "사이드 채널 공격에 취약한 CPU하드웨어"를 공개했습니다.


위협이 얼마나 큰가?

공격자는 이러한 취약점을 악용하여 보호된 메모리 영역 내의 암호, 이메일 및 중요 문서와 같은 데이터들에 액세스 할수 있습니다. 이러한 데이터들은 OS 및 애플리케이션의 메모리에서 처리될때 일반 텍스트로 표시될 가능성이 큽니다. 이번 이슈로 인하여 더이상 OS 레벨의 메모리 분리를 신뢰 할수 없게 되었습니다.

취약점을 이용한 두가지 접근법이  있습니다.

The Meltdown - "사용자 수준 공격 커널 레벨" : 악의적이고 권한이 없는 사용자 수준 애플리케이션은 장애 경계 검사로 인해 OS 커널 모드 메모리에 액세스 할 수 있습니다. 관련 취약점 : CVE-2017-5754

The Spectre - "사용자 수준 공격 유저 레벨" : 악의적인 사용자 레벨 애플리케이션은 CPU의 추측 실행 기능에 대한 버그로 인해 정상적으로 실행 중인 사용자 레벨 애플리케이션의 메모리를 읽습니다. 관련 취약점 : CVE-2017-5753, CVE-2017-5715

가능한 공격 시나리오에는 클라우드 기반의 공유 호스팅 공격, 웹 기반 JavaScript로 클라이언트 측 공격, 커널 수준 ASLR보호를 우회하기 위한 메모리 손상 취약성 악용을 시작하기 위한 지원 방법으로 사용할 수 있습니다.


취약점 대상

  • Intel , AMD , ARM 의 Chip 사용 장비
  • Windows, Linux (안드로이드 포함), macOS
  • AWS, AliCloud 와 같은 Cloud 서비스

취약점 대처 방안

하드웨어 수준에서 발생한 취약점이며, 모바일 및 IoT장치의 다양한 버전을 포함하여 여러 플랫폼에 영향을 미칩니다. Linux와 Windows의 현재 패치는 Intel제품에 5-30%의 성능 저하를 초래합니다.

새로 릴리스 된 패치에 대한 업데이트를 유지하고 가능한 경우 적용하거나 해당 패치가 최신 패치로 업데이트되었는지 서비스 공급자에게 확인하십시오. 대형 공급 업체는 이미 패치 상태에 대한 피드백을 제공하고 있습니다.

  • VMware: https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
  • AMD: https://www.amd.com/en/corporate/speculative-execution
  • Red Hat: https://access.redhat.com/security/vulnerabilities/speculativeexecution
  • Nvidia: https://forums.geforce.com/default/topic/1033210/nvidias-response-to-speculative-side-channels-cve-2017-5753-cve-2017-5715-and-cve-2017-5754/
  • Xen: https://xenbits.xen.org/xsa/advisory-254.html
  • ARM: https://developer.arm.com/support/security-update
  • Amazon: https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
  • Mozilla: https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

SonicWall 방화벽과  The Meltdown and Spectre 취약점

The Meltdown and Spectre 는 메모리 레벨에서 발생하는 공격으로, 특정 서비스를 대상으로 하는 다른 공격처럼 로그를 남겨두지 않습니다. 네트워크 트래픽을 통해 여전히 공격과 위험을 탐지하고 차단할 수 있습니다.

SonicWall Capture Labs Threat Research team 은 이러한 취약성에 대해 새롭게 등장한 악용 및 위험을 지속적으로 모니터링하고 있습니다. 다음 서명은 공격을 식별하고 중지하기 위해 개발되었습니다.


GAV: Exploit.Spectre.A
IPS 13149: Suspicious Javascript Code (Speculative Execution)
WAF 1673: Suspicious Javascript Code (Speculative Execution)


감사합니다.



Posted by 로버무트

댓글을 달아 주세요