tc260 CPU 熔断和幽灵漏洞防范指引

TC260-PG-20181A 网络安全实践指南 —CPU 熔断和幽灵漏洞防范指引 m o c . 5 b u h t i g 全国信息安全标准化技术委员会秘书处 2018 年 1 月 16 日本文档可从以下网址获得： http://www.tc260.org.cn/front/postDetail.html?id=20180116090719 前言《网络安全实践指南》（以下简称“实践指南”）是全国信息安全标准化技术委员会（以下简称“信安标委”，TC260）发布的技术文件。实践指南旨在推广网络安全标准，应对网络安全事件，改善网络安全状况，提高网络安全意识。本实践指南是在分析总结相关厂商针对 CPU 熔断和幽 m o c . 5 灵漏洞发布的安全公告和漏洞补丁的基础上，通过研究提炼形成的，可为漏洞防范提供指引。 b u h t i g I 声明本实践指南版权属于全国信息安全标准化技术委员会。未经委员会书面授权，不得以任何方式复制、抄袭、影印、翻译本指南的任何部分。凡转载或引用本指南的观点、数据，请注明“来源：全国信息安全标准化技术委员会”。全国信息安全标准化技术委员会不承担对厂商所提供 m o c . 5 的补丁进行有效性验证的责任。 b u h t i g 技术支持单位本实践指南得到中标软件、360、华为技术、龙芯中科、华芯通、阿里云、百度云、腾讯、普华软件、中科曙光、成都海光、神州网信、天津麒麟、安恒等单位的技术支持。 II 摘要本实践指南分析总结了CPU、操作系统和云服务提供商等厂商针对熔断（Meltdown）和幽灵（Spectre）漏洞提供的缓解措施，给出了漏洞防范指引，并提供了部分厂商的官方安全公告和补丁链接。建议用户参考本实践指南给出的漏洞 m o c . 5 防范指引，及时采取安全措施应对安全威胁。关键词：网络安全；熔断漏洞；幽灵漏洞；防范指引 b u h t i g III 一、漏洞描述本实践指南应对的两个 CPU 漏洞分别为熔断（Meltdown，CNVD-2018-00303，对应CVE-2017-5754）和幽灵漏洞（Spectre，CNVD-2018-00302 和CNVD-2018-00304，分别对应CVE-2017-5715 和CVE-2017-5753）。熔断漏洞利用CPU乱序执行技术的设计缺陷，破坏了内存隔离机制，使 m o c . 5 恶意程序可越权访问操作系统内存数据，造成敏感信息泄露。幽灵漏洞利用了CPU推测执行技术的设计缺陷，破坏了不同应用程序间的逻辑隔离，使恶意应用程序可能获取其它 b u 应用程序的私有数据，造成敏感信息泄露。熔断漏洞涉及几乎所有的Intel CPU和部分ARM CPU； h t i g 幽灵漏洞涉及所有的Intel CPU、AMD CPU，以及部分ARM CPU。由于上述漏洞来源于硬件，需要从CPU架构和指令执行机理层面进行修复。上述漏洞只能读取数据，不能修改数据，远程利用难度较大，尚未监测到利用上述漏洞的真实攻击案例。二、风险分析 1. 漏洞风险分析云服务提供商、服务器用户、云租户和个人用户均可能受到熔断和幽灵漏洞的威胁。其中云平台和部署在互联网环境下的服务器受攻击的风险更大。 1 （1）云服务提供商。云服务提供商包括公有云和私有云服务提供商。在云环境中，攻击者以云租户身份，可利用熔断或幽灵漏洞，绕过虚拟化平台内存隔离机制，直接访问虚拟化平台的内存，窃取平台敏感信息（如口令、密钥等），进一步获得管理员权限，可实现对整个云平台的控制。（2）服务器用户。攻击者可利用熔断或幽灵漏洞，绕 m o c . 5 过服务器操作系统提供的安全隔离机制，直接访问服务器操作系统的内核空间，窃取内核敏感信息（如口令、密钥等），进一步获得管理员权限，可实现对整个服务器的控制。 b u （3）云租户。攻击者以云租户身份，可利用幽灵漏洞攻击云平台，绕过云平台提供的内存隔离机制，越权访问其 h t i g 他租户私有数据，可能导致其他租户敏感信息泄漏。（4）个人用户。攻击者通过恶意脚本（如恶意JavaScript）攻击用户浏览器，可读取个人用户的浏览器数据，导致用户账号、密码、邮箱、cookie等信息泄漏。该恶意脚本可能是个人用户通过浏览器访问恶意网站时，下载到本地执行并感染的。目前，熔断和幽灵漏洞的利用代码已披露，但尚未监测到利用这两类漏洞的真实攻击案例。主流厂商已开始积极应对，纷纷推出漏洞补丁，主流云服务提供商也已经评估风险，并按计划进行升级。 2 2. 升级风险分析熔断漏洞和幽灵漏洞的补丁升级过程可能需要重启系统，会影响到用户业务的连续性。当前厂商提供的漏洞补丁普遍存在导致系统性能下降或影响稳定性等问题。针对熔断和幽灵漏洞的 3 个变种，其补丁升级过程存在一定风险： m o c . 5 （1）变种 1（CVE-2017-5753，绕过边界检查型漏洞）的补丁升级需要更新操作系统，会影响业务的连续性，但对性能影响可以忽略不计。其中，云服务提供商可通过热迁移 b u 技术实现补丁升级，不需重启操作系统。（2）变种 2（CVE-2017-5715，分支预测注入型漏洞） h t i g 的补丁升级需要更新固件和操作系统，会影响业务连续性，性能影响较小。其中，云服务提供商可通过热迁移技术实现补丁升级，不需重启操作系统。（3）变种 3（CVE-2017-5754，乱序执行的 CPU 缓存污染型漏洞）的补丁升级需要重启操作系统，会影响业务连续性，对 I/O 密集型业务系统的性能影响较大，对计算密集型业务系统的性能影响较小。用户应充分评估漏洞补丁升级风险对业务的影响，重点关注补丁升级会造成的业务连续性中断和性能下降等风险。三、漏洞防范指引本实践指南主要为云服务提供商、服务器用户、云租户 3 和个人用户提供漏洞防范指引，以帮助用户防范熔断和幽灵漏洞，控制漏洞补丁升级所带来的负面影响。政府门户网站和政务信息系统，以及金融、能源、交通等行业信息系统，可根据其业务部署模式制定相应的升级方案。关于本实践指南中涉及的部分厂商官方补丁，请参见附录 A。升级完成后，建议用户对业务进行持续监控和性能评估，当发现升级失 m o c . 5 败、升级后业务不稳定、性能急剧下降等问题时，恢复系统到补丁升级前状态。 1. 云服务提供商 b u 云服务提供商对云平台的补丁升级主要包括固件升级和云平台软件升级两部分。云服务提供商应在升级前联系云 h t i g 平台软硬件供应商，协同制定补丁升级方案，并密切关注相关开源社区安全公告。（1）升级准备。应制定完整的云平台升级和测试验证方案，进行充分的测试，分析性能损耗、稳定性等情况，评估相关安全风险。应发布正式升级公告，告知云租户关于平台升级的具体时间点、升级可能带来的业务中断等风险，并为云租户自身应负责的补丁升级工作提供有效指导。（2）升级实施。包括固件和云平台软件补丁升级。在升级前采用热迁移技术将云租户业务迁移到备用服务器。 ——固件升级：目前主流 CPU 厂商提供了部分 CPU 的固件补丁，升级时需要寻求设备厂商足够技术支持，确认固 4 件补丁版本，从设备厂商官方网站下载相应补丁，实施升级。 ——云平台软件升级：对于使用商业虚拟化产品的云平台，建议在平台软件供应商（如 VMWare、Xen Server、 Hyper-V 等）的指导下完成升级工作。对于使用开源虚拟化技术实现的云平台，应关注对应的开源社区（如 Xen 和 Qemu-KVM），及时获取最新的补丁源码及升级指南。在综 m o c . 5 合考虑补丁风险、性能损耗因素后，参考产业优秀实践，确定可行的升级技术，明确升级流程，充分结合自身特点制定系统升级及失败恢复方案，有序开展升级工作。 b u 2. 服务器用户服务器用户升级主要包括固件、操作系统（含虚拟化平 h t i g 台）升级等工作。（1）升级准备。制定漏洞升级方案，做好系统和数据备份，制定升级失败恢复方案，明确业务影响较小的补丁升级时间窗口。应寻求厂商技术支持，根据服务器硬件类型，评估是否需要升级固件。（2）升级实施。包括固件升级、操作系统及虚拟化平台升级。升级前应安全关闭上层业务系统。 ——固件升级：目前主流 CPU 厂商提供了部分 CPU 的固件补丁，应确认固件补丁版本，从设备厂商官方网站下载相应补丁，实施升级。 ——操作系统及虚拟化平台升级：应根据服务器操作系 5 统（包括 Windows Server 系列、Linux 系列、UNIX 系列等）和虚拟化产品类型（包括 VMWare vSphere、Citrix XenServer 等），下载相应补丁并实施升级。 3. 云租户云租户升级主要包括租户操作系统和应用升级等。（1）升级准备。关注云服务提供商的安全公告，研究 m o c . 5 云服务提供商发布的升级指导。结合自身业务，确定受影响的操作系统和相关应用，评估性能、兼容性、业务连续性等方面的影响，制定升级计划和方案。执行升级前应备份相关 b u 数据和系统。（2）升级实施。根据制定的升级方案，升级客户操作 h t i g 系统和上层应用。 4. 个人用户尽管上述漏洞影响极为广泛，但漏洞利用条件较为苛刻，攻击成功率低。建议关注各操作系统厂商、浏览器厂商、整机厂商等的安全公告，采用系统自带的系统升级工具或第三方提供的漏洞管理工具下载和安装补丁，从而避免漏洞的影响。同时，个人用户应安装并及时更新防病毒软件，并养成良好上网习惯，不轻易浏览不信任的网站，不轻易点击来源不明的网页链接，提高安全防范意识。 6 附件 A: 部分厂商安全公告和补丁链接类别名称官方链接处理器 Intel https://security-center.intel.com/ https://newsroom.intel.cn/press-kits/security-exploits-intel-products/ m o AMD http://www.amd.com/en/corporate/speculative-execution ARM https://developer.arm.com/support/security-update IBM http://www-01.ibm.com/support/doc