嗨,我是智能客服信服君!我能1秒钟解决您的问题
CPU漏洞引爆全球危机,深信服持续为您提供应对指南
  

SANGFOR_智安全 Lv6发表于 2018-1-8 17:03

CPU漏洞引爆全球危机,深信服持续为您提供应对指南

      近日,Google安全团队爆出Intel的CPU存在安全漏洞,编号分别为CVE-2017-5753、CVE-2017-5715以及CVE-2017-5754。本次漏洞是由于CPU的设计中“预测执行”和“乱序执行”在实现上存在缺陷导致的,攻击者可以通过漏洞获取宿主机的敏感信息,如密码等。本次漏洞影响Intel1995年之后生产的所有CPU


漏洞分析

漏洞危害
      本次披露的漏洞影响Intel自1995年之后生产的所有CPU,同时受影响的还有AMD、ARM等存在“预测执行”等能力的CPU,在这些CPU架构之上的Android、iOS、Linux及Windows等主流操作系统均受影响。

      针对CPU进行攻击有Meltdown和Spectre两种方法。 Meltdown涉及CVE-2017-5754漏洞,攻击者可以通过漏洞获取系统内核中的数据,破坏应用和系统的隔离,该漏洞主要是Intel的CPU受影响。Spectre涉及CVE-2017-5753、CVE-2017-5715两个漏洞,攻击者可以通过漏洞获取其他进程中的数据,破坏了应用之间的隔离,该漏洞影响所有具有“预测执行”等能力的CPU,包括AMD及ARM。

两种类型的攻击均可能导致攻击者获取敏感信息,也可以导致ASLR等漏洞缓解机制的失效,辅助进行其他远程代码执行漏洞的利用。但如果攻击者想要利用这些漏洞,需要在被攻击主机上执行相关CPU指令,如诱使浏览器打开恶意网页通过JavaScript远程执行,或者直接通过低权限在操作系统上执行代码。


漏洞检测
      目前验证漏洞的PoC(https://www.exploit-db.com/exploits/43427/)已经公布,可以通过PoC验证是否受漏洞影响。以下是在linux系统本地执行Spectre漏洞验证PoC的结果,可以将 "The Magic Words are SqueamishOssifrage." 这个字符串序列打印出来该主机表明受漏洞影响:

605045a5333eea0221.png

​在Windows受漏洞影响的主机运行PoC结果如下:

918175a5333fad52ce.png

​解决方案
CPU、操作系统、浏览器厂商解决方案
      此次CPU漏洞事件修复难度较高,需要CPU厂商、操作系统厂商等共同协作进行修复,目前部分CPU厂商、操作系统厂商、浏览器厂商采取了措施来解决该问题。

1CPU芯片厂商
以下是部分CPU芯片厂商的通告,请持续关注并在CPU芯片厂商给出升级补丁后尽快进行升级。
Intel:
Intel宣称已经发布了针对其主流CPU的更新,并将在下周末前发布针对近5年90%存在此问题的CPU的安全更新:
https://newsroom.intel.com/news/intel-responds-to-security-research-findings
AMD:
AMD主要受Spectre漏洞影响,其安全公告中表示该漏洞由软件和操作系统厂商来发布补丁修复:
https://www.amd.com/en/corporate/speculative-execution
ARM:
ARM提供了新的编译器并且发布了Linux的ARM内核补丁:
https://developer.arm.com/support/security-update

2、操作系统厂商
目前已经有Windows、MacOS、Redhat等操作系统给出了相关解决方案。
Windows:
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
MacOS:
升级至10.13.2版本
Redhat:
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://access.redhat.com/errata/RHSA-2018:0007
https://access.redhat.com/errata/RHSA-2018:0008
SUSE Linux EnterpriseServer:
https://www.suse.com/security/cve/CVE-2017-5754/
https://www.suse.com/security/cve/CVE-2017-5753/
https://www.suse.com/security/cve/CVE-2017-5715/

3、浏览器
针对这个漏洞攻击者可能利用浏览器进行远程攻击,浏览器厂商也针对此次漏洞进行了版本升级。
FireFox:
更新至57版本:
https://download-installer.cdn.mozilla.net/pub/firefox/releases/57.0.4/
IE及Edge:
https://support.microsoft.com/zh-cn/help/4056890/windows-10-update-kb4056890
Chrome:
更新至64版本(预计1月23日更新)

深信服解决方案
1、通过深信服检测工具进行检测,并及时升级补丁:
用户可以根据操作系统类型,下载对应的工具,检测是否受到该漏洞影响,具体下载地址如下,如果存在漏洞,请及时下载补丁进行升级。
Windows版检测工具:
http://sec.sangfor.com.cn/download?file=spectreattack.exe
Linux版检测工具:
http://sec.sangfor.com.cn/download?file=spectreattack

2、此次漏洞存在一种攻击者诱使受害者打开恶意网页并执行其中的JavaScript代码来实现远程代码攻击的可能,针对这种情况,对于使用深信服下一代防火墙的用户,请及时更新恶意URL地址库,杜绝恶意网页的访问,从源头上避免可能出现的漏洞利用攻击。

深信服后续跟踪计划:
      本次漏洞是芯片底层设计缺陷所致,影响范围非常大。但要想利用这些漏洞,攻击者需要获取被攻击主机本地执行CPU指令的权限。如果想要远程利用该漏洞,可能通过浏览器等方式进行,那么攻击者需要诱使受害者打开恶意网页并执行其中的JavaScript代码来实现。如果您安全意识良好,不轻易打开陌生网页、陌生邮件中的附件或链接,基本不会受这种远程攻击方式的影响。

      由于该漏洞影响范围广,现阶段用户仍有受到远程攻击的风险。深信服千里目安全实验室将持续关注此漏洞的最新动态,第一时间为您提供可靠完整的解决方案,协助您及时完成安全加固!

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2018-1-9 10:14
  
这个漏洞影响范围很大,小伙伴们赶紧更新补丁,社区也会将最新的消息及时提供给大家!
LaoYang Lv7发表于 2018-1-10 09:29
  
好的哦
北纬 Lv5发表于 2018-1-10 09:43
  
深信服设备漏洞怎么修
Minimal Lv6发表于 2018-1-10 14:51
  
深信服终于发文了,不知道虚拟化这边你们的补丁啥时候跟进。
Haskiy Lv3发表于 2018-1-16 08:47
  
信服君,你为何这么叼。
ztbf Lv5发表于 2018-1-16 10:48
  
谢谢,虚拟化这边补丁什么时候有。
adds Lv17发表于 2018-1-16 12:56
  
来呀,快乐呀!反正有大把时光!
feeling Lv23发表于 2018-1-17 10:04
  
不错啊 很全面
Anson钟 Lv6发表于 2018-1-17 11:53
  
吓的我赶紧把电脑的浏览器卸载掉!