좀비로드 - 거의 모든 인텔 CPU에 영향을 미치는 치명적인 Linux CVE
콘텐츠
- 좀비로드 취약성이란 무엇인가요?
- MDS 공격이란 무엇인가요?
- 좀비로드의 영향을 받는 CPU는 무엇인가요?
- MDS/좀비로드 취약점을 완화하는 방법은 무엇인가요?
- MDS/좀비로드 취약점 패치 릴리스 일정
좀비로드 취약성이란 무엇인가요?
Linux 취약점은 기괴한 이름과 자체 웹사이트를 가진 유명인처럼 되어가고 있습니다.
가장 최근에 발견된 취약점은 인텔이 발견하고 전 세계 보안 중심 기관의 학술 부서에서 연구한 마이크로아키텍처 데이터 샘플링(줄여서MDS) 으로도 알려진 좀비로드, RIDL, 폴아웃입니다. 이러한 취약점은 스펙터 및 멜트다운과 같은 맥락에서 데이터를 노출하는 설계 결함입니다. 좀비로드는 2011년 이후 제조된 모든 인텔 코어 및 제온 CPU에 영향을 미치기 때문에 특히 우려스러운 취약점입니다.
MDS 공격이란 무엇인가요?
마이크로아키텍처 데이터 샘플링 (MDS) 공격은 앱 간의 프라이버시 경계를 무너뜨려 개인 데이터를 노출할 수 있는 공격 유형입니다.
아래 이고르 셀레츠키의 MDS에 대한 인사이트가 담긴 동영상을 시청하거나 아래로 스크롤하여 재부팅 없이 MDS/좀비로드 취약점을 완화하는 방법에 대한 지침을 확인하세요.
{% video_player "embed_player" overrideable=False, type='scriptV4′, hide_playlist=True, viral_sharing=False, embed_button=False, autoplay=False, hidden_controls=False, loop=False, muted=False, full_width=False, width='2116′, height='1076′, player_id='10326507854′, style=" %}
좀비로드 익스플로잇을 가능하게 하는 네 가지 취약점 등록이 결합되어 있습니다: CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091입니다. 코드를 살펴보면 작년에 세 가지가 등록되었음을 알 수 있습니다. 이 문제는 다른 사람들이 취약점을 방어하기 전에 '악의적 행위자'가 취약점을 악용하는 것을 막기 위해 ' 조정된 공개'라고 알려진 관행에 따라 비밀에 부쳐져 왔습니다. Microsoft, Amazon AWS, Google은 모두 데이터 센터에서 문제를 완화했으며, 이러한 문제에 대한 사전 통지의 혜택을 받는 '이너 서클'에 속해 있습니다. 그 외의 기업들은 OS 공급업체의 업데이트를 기다려야 합니다.
좀비로드의 영향을 받는 CPU는 무엇인가요?
좀비로드의 배후에 있는 연구원들: 권한 경계 간 데이터 샘플링 연구의 연구원들은 여러 인텔 CPU를 테스트한 결과, 최소한 다음 CPU가 좀비로드 및 나머지 MDS 취약점 팩에 취약하다는 사실을 발견했습니다:
CPU(스테핑) | µ-arch. |
Core i7-3630QM (E1) | 아이비 브리지 |
랩 코어 i7-6700K(R0) | 스카이레이크-S |
랩 코어 i5-7300U (H0) | 카비 레이크 |
랩 코어 i7-7700(B0) | 카비 레이크 |
랩 코어 i7-8650U(Y0) | 카비레이크-R |
랩 코어 i7-8565U(W0) | 위스키 레이크 |
랩 코어 i7-8700K(U0) | 커피 레이크-S |
랩 코어 i9-9900K(P0) | 커피 레이크-R |
랩 제온 E5-1630 v4(R0) | 브로드웰-EP |
클라우드 제온 E5-2670(C2) | 샌디 브리지-EP |
클라우드 제온 골드 5120(M0) | 스카이레이크-SP |
클라우드 제온 플래티넘 8175M(H0) | 스카이레이크-SP |
클라우드 제온 골드 5218(B1) | 클라우드 제온 골드 5218(B1) |
MDS/좀비로드 취약점을 완화하는 방법
하드웨어에서 실행하는 경우:
이 취약점을 완화하려면 아래 지침을 따르는 경우 재부팅할 필요가 없는 3단계 조치를 취해야 합니다:
1단계: 재부팅 없이 마이크로코드 업데이트
마이크로코드는 CPU 자체 내부에서 실행되는 코드로 인텔에서 처리합니다. 마이크로코드 업데이트는 일반적으로 재부팅 시 이루어집니다. 새 Kernel을 받으면 새 마이크로코드가 포함되며, Kernel이 부팅되면 새 마이크로코드가 CPU에 설치됩니다. 지침에 따라 재부팅하지 않고도 마이크로코드를 업데이트할 수 있습니다.
2단계: 재부팅 없이 하이퍼스레딩 비활성화하기
CPU 동시 멀티 스레딩(SMT)을 비활성화하지 않으면 공격자가 동일한 CPU의 데이터를 읽을 수 있는 문제가 여전히 발생합니다. KernelCare를 사용하면 지침에 따라 재부팅하지 않고도 하이퍼스레딩을 비활성화할 수 있습니다.
3단계: KernelCare 패치 적용하기
1단계와 2단계를 완료했더라도 로컬 사용자가 CPU에서 실행 중인 데이터를 읽을 수 없도록 Linux Kernel을 업데이트해야 합니다. KernelCare를 사용하면 재부팅하지 않고도 이 작업을 수행할 수 있습니다. 무료로 가입하기 7-일 평가판.
가상 머신에서 실행하는 경우:
가상 머신 내부의 Linux Kernel만 패치하면 됩니다. 호스트 노드도 업데이트되었는지 확인해야 하며, 이는 일반적으로 서비스 제공업체에서 수행합니다.
KernelCare를 사용 중인 경우 - KernelCare에서 패치를 자동으로 제공하므로 추가 작업을 수행할 필요가 없습니다. 그렇지 않은 경우 - 지금이 바로 무료에 가입하세요 7-일 평가판.
5월 17일(금)에 KernelCare에서 MDS용 라이브 패치 테스트를 시작했으며, 현재 모든 주요 배포판에 배포되었고 다른 배포판도 곧 출시될 예정입니다. 최신 소식은 @KernelCare를 팔로우하세요.
MDS/좀비로드 취약점 패치 릴리스 일정
6월 10일 월요일 업데이트
KernelCare 패치 릴리스 일정은 아래와 같습니다. 릴리스 일정은 변경될 수 있습니다. 여기에서 정기적으로 확인하거나 헬프데스크에 문의하세요.
프로덕션에 출시되었습니다:
- CentOS 6
- CentOS 6용 CentOSPlus
- CloudLinux OS 6
- Debian 8
- Debian 9
- Ubuntu 14.04 LTS(트러스티 타르)
- Ubuntu 16.04 LTS(Xenial Xerus)
- Ubuntu 18.04 LTS(Bionic Beaver)
- Oracle 엔터프라이즈 Linux 6
- Oracle 엔터프라이즈 Linux 7
- Oracle UEK 3
- Oracle UEK 4
- Oracle UEK 5
- OpenVZ
- Proxmox VE
- Red Hat 엔터프라이즈 Linux 6
- Red Hat 엔터프라이즈 Linux 7
- Amazon Linux 1
- Amazon Linux 2
프로덕션 피드의 패치가 자동으로 적용됩니다.
테스트 피드에 릴리스되었습니다:
- CentOS 7
- CentOS 7용 CentOSPlus
- 클라우드 Linux 6 하이브리드
테스트 피드에서 패치를 설치하려면 다음 명령을 실행하세요:
kcarectl --test --update
프로덕션 업데이트를 사용할 수 있는 경우 KernelCare는 일반 피드를 자동으로 사용합니다.
24주차 마감:
- CentOS 7
- CentOS 7용 CentOSPlus
- 클라우드 Linux OS 7
- Oracle 엔터프라이즈 Linux
KernelCare가 다른 중요한 취약점을 해결하는 방법에 대해 자세히 알아보세요: