談到IT系統的安全性弱點,大多數人會馬上聯想到的,是軟體層面出了問題,但是,到了2018年,這樣的觀點已經被徹底打破,因為,在設備的硬體和韌體的層面,也遭人發現有重大的安全漏洞,而在2019年,可能還會有其他弱點繼續被發現。

CPU接連出現安全漏洞,修補成效與系統性能難兼顧

之所以有這樣巨大的轉變,最主要的關鍵事件,發生在2018年1月初,由Google的Project Zero資安團隊揭露了三個CPU推測執行漏洞,分別是CVE-2017-5753、CVE-2017-5715、CVE-2017-5754,有心人士可運用這些弱點,透過旁路攻擊(side-channel attacks)的手法,接觸到電腦系統記憶體執行的應用程式,而能存取當中的資料,而且,研究人員也把相關的概念性驗證攻擊手法Meltdown和Spectre,公諸於世,引起全球各界關注。

而這類型漏洞涉及的運算平臺相當廣泛,涵蓋Intel、AMD、Arm等三大廠商的CPU,因此,舉凡現今普遍使用的個人電腦、行動裝置,企業的伺服器、儲存設備、網路設備,以及雲端服務廠商的使用環境,全都在影響範圍之內。

雖然相關廠商當時緊急發布了修補程式,但後續到了5月、8月,又被發現到還有其他CPU漏洞。此外,相關的漏洞修補程式安裝到系統之後,也會影響執行效能,而使得開發人員和廠商相當頭痛,因為,在修補安全性弱點之餘,也必須設法維持應用系統運作效率。

既然CPU都會出事,那麼,因數位貨幣挖礦與人工智慧應用而走紅的GPU,是否也有類似問題,後續也成為眾所矚目的焦點。

以Nvidia為例,他們在2018年被揭露為高嚴重性的漏洞(CVSS通用漏洞評鑑系統評為7分),多數與GPU顯示驅動程式有關。

而在11月中,加州大學河濱分校的研究團隊發表論文,指出當前的GPU架構存在著弱點,無法因應旁路攻擊手法的侵襲,而這項弱點也成為編號CVE-2018-6260的漏洞,在弱點嚴重等級認定上,雖然不是很高(2.1分),但後續是否會被發現有類似的弱點,值得注意。

伺服器主機板傳出間諜晶片疑雲,設備供應鏈安全備受關注

除了CPU與GPU的漏洞,就連搭載這些處理器的主機板,在上下游廠商生產製造的過程當中,也可能被有心人士趁虛而入,而產生安全疑慮。

例如,彭博社(Bloomberg)在2018年10月的新聞報導,揭露Supermicro公司的伺服器主機板遭中國植入間諜晶片的狀況,有將近30家美國公司受到影響,引發全球各大企業的恐慌。

然而,到了12月10日,Supermicro高層發布公告,表示他們找了第三方調查公司來協助,而在執行全面檢查及多種功能測試之後,並未發現主機板內藏有任何惡意硬體的證據。

整體而言,在這次事件發生的過程之中,雖然媒體和廠商各執一詞,外界至今仍是摸不著頭緒,究竟是真有其事或虛驚一場,誰也不敢斷言這種可能性不存在,也許在2019年會有進一步的消息與證據出現。


Advertisement

更多 iThome相關內容