英特爾漏洞曝光后，網(wǎng)絡(luò)安全視角變了

來源：互聯(lián)網(wǎng)   發(fā)布日期：2024-10-18 18:45:57   瀏覽：2447次  

劃重點(diǎn)

01中國網(wǎng)絡(luò)空間安全協(xié)會(huì)建議對(duì)英特爾在華銷售產(chǎn)品啟動(dòng)網(wǎng)絡(luò)安全審查，以應(yīng)對(duì)其產(chǎn)品漏洞頻發(fā)和故障率高的問題。

02英特爾產(chǎn)品被曝存在Downfall、Reptar、GhostRace等漏洞，影響廣泛，且修復(fù)難度較大。

03除此之外，半導(dǎo)體行業(yè)領(lǐng)域多家企業(yè)近年來持續(xù)曝出漏洞問題，如高通、AMD、NVIDIA等。

04專家表示，CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與其他行業(yè)相比，具有隱蔽性和長期風(fēng)險(xiǎn)的特點(diǎn)。

05為此，行業(yè)需要加強(qiáng)網(wǎng)絡(luò)安全評(píng)估，推動(dòng)國內(nèi)半導(dǎo)體行業(yè)的自主創(chuàng)新，減少對(duì)外部供應(yīng)商的依賴。

以上內(nèi)容由騰訊混元大模型生成，僅供參考

自中國網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)布建議啟動(dòng)針對(duì)英特爾網(wǎng)絡(luò)安全審查文章后，網(wǎng)絡(luò)安全的討論仍在持續(xù)。

10月17日，英特爾對(duì)于中國網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)文進(jìn)行回應(yīng)，稱將“將與相關(guān)部門保持溝通，澄清相關(guān)疑問，并表明對(duì)產(chǎn)品安全和質(zhì)量的堅(jiān)定承諾。”

網(wǎng)絡(luò)安全行業(yè)人士對(duì)記者表示，此次英特爾網(wǎng)絡(luò)安全事件更適合作為一則消息去觀察后續(xù)行業(yè)變化，文章披露的安全漏洞不是近期發(fā)生的，但暴露出更大的安全風(fēng)險(xiǎn)半導(dǎo)體行業(yè)，尤其是CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與其他行業(yè)相比，影響廣泛、難以修補(bǔ)，具有隱蔽性和長期風(fēng)險(xiǎn)，需要信創(chuàng)行業(yè)進(jìn)一步修補(bǔ)核心技術(shù)缺位，也給網(wǎng)絡(luò)安全行業(yè)帶來更大的挑戰(zhàn)。

及時(shí)應(yīng)對(duì)CPU漏洞風(fēng)險(xiǎn)

中國網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)文內(nèi)容顯示，英特爾產(chǎn)品漏洞頻發(fā)、故障率高。

安全漏洞問題方面，據(jù)文章披露，2023年8月，英特爾CPU被曝存在Downfall漏洞，該漏洞影響英特爾第6代至第11代酷睿、賽揚(yáng)、奔騰系列CPU，以及第1代至第4代至強(qiáng)處理器。

另在2023年11月，谷歌研究人員披露英特爾CPU存在高危漏洞Reptar。利用該漏洞，攻擊者不僅可以在多租戶虛擬化環(huán)境中獲取系統(tǒng)中的個(gè)人賬戶、卡號(hào)和密碼等敏感數(shù)據(jù)，還可以引發(fā)物理系統(tǒng)掛起或崩潰，導(dǎo)致其承載的其他系統(tǒng)和租戶出現(xiàn)拒絕服務(wù)現(xiàn)象。2024年以來，英特爾CPU又先后曝出GhostRace、NativeBHI、Indirector等漏洞。

可靠性問題方面，據(jù)文章披露，從2023年底開始，大量用戶反映，使用英特爾第13、14代酷睿i9系列CPU玩特定游戲時(shí)，會(huì)出現(xiàn)崩潰問題。

另外，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)文表示英特爾產(chǎn)品存在監(jiān)控與后門問題。英特爾聯(lián)合惠普等廠商，共同設(shè)計(jì)了IPMI（智能平臺(tái)管理接口）技術(shù)規(guī)范，聲稱是為了監(jiān)控服務(wù)器的物理健康特征，但模塊也曾被曝存在高危漏洞（如CVE-2019-11181），導(dǎo)致全球大量服務(wù)器面臨被攻擊控制的極大安全風(fēng)險(xiǎn)。同時(shí)，英特爾還在產(chǎn)品中集成存在嚴(yán)重漏洞的第三方開源組件。

據(jù)此，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)建議對(duì)英特爾在華銷售產(chǎn)品啟動(dòng)網(wǎng)絡(luò)安全審查，切實(shí)維護(hù)中國國家安全和中國消費(fèi)者的合法權(quán)益。公開資料顯示，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)于2016年3月25日在北京成立的全國性、行業(yè)性、非營利性社會(huì)組織，接受業(yè)務(wù)主管單位中華人民共和國國家互聯(lián)網(wǎng)信息辦公室和社團(tuán)登記管理機(jī)關(guān)中華人民共和國民政部的業(yè)務(wù)指導(dǎo)和監(jiān)督管理。

英特爾方面回應(yīng)稱：始終將產(chǎn)品安全和質(zhì)量放在首位，一直積極與客戶和業(yè)界密切合作，確保產(chǎn)品的安全和質(zhì)量。將與相關(guān)部門保持溝通，澄清相關(guān)疑問，并表明英特爾對(duì)產(chǎn)品安全和質(zhì)量的堅(jiān)定承諾。

“（自主運(yùn)行的子系統(tǒng)）可能是英特爾用來管理的小系統(tǒng)。設(shè)置小系統(tǒng)本身是正常的操作，其他芯片也有。但這個(gè)小系統(tǒng)用戶感知不到，芯片研發(fā)方可能做一些后門操作。”一名芯片設(shè)計(jì)人員告訴記者。

應(yīng)對(duì)此次英特爾被曝出的安全漏洞，亞信安全副總裁徐業(yè)禮對(duì)記者表示，從行業(yè)層面來講，當(dāng)行業(yè)企業(yè)使用的半導(dǎo)體芯片被檢測(cè)出風(fēng)險(xiǎn)漏洞時(shí)，采取及時(shí)有效的應(yīng)對(duì)措施至關(guān)重要。關(guān)注芯片制造商和操作系統(tǒng)提供商發(fā)布的安全補(bǔ)丁，確保系統(tǒng)和應(yīng)用程序得到及時(shí)更新，以修復(fù)已知漏洞。

另外，進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估也是必要的，以確定漏洞可能帶來的影響，并根據(jù)風(fēng)險(xiǎn)等級(jí)制定相應(yīng)的應(yīng)對(duì)策略。在確認(rèn)漏洞被修復(fù)之前，企業(yè)應(yīng)將受影響的系統(tǒng)從網(wǎng)絡(luò)中隔離，以防止?jié)撛诘墓�擊擴(kuò)散。同時(shí)，增強(qiáng)網(wǎng)絡(luò)安全監(jiān)控和日志記錄，可以幫助企業(yè)快速響應(yīng)異常行為，及時(shí)處理安全事件。定期備份關(guān)鍵數(shù)據(jù)也是一種有效的防護(hù)措施，以確保在發(fā)生安全事件時(shí)能夠迅速恢復(fù)業(yè)務(wù)。

對(duì)于普通個(gè)體用戶而言，徐業(yè)禮稱，保持系統(tǒng)更新是自我保護(hù)的基礎(chǔ)，定期更新操作系統(tǒng)、應(yīng)用程序和防病毒軟件，以確保擁有最新的安全修復(fù)。此外，使用強(qiáng)密碼、開啟防火墻、謹(jǐn)慎點(diǎn)擊鏈接、安裝可靠的安全軟件等措施，都能有效降低惡意軟件感染的風(fēng)險(xiǎn)。定期備份個(gè)人數(shù)據(jù)、避免在公共設(shè)備上進(jìn)行敏感操作、了解最新的網(wǎng)絡(luò)釣魚手段，以及啟用多因素認(rèn)證，都是增強(qiáng)個(gè)人網(wǎng)絡(luò)安全防護(hù)能力的重要手段。通過這些綜合措施，個(gè)體用戶和企業(yè)都能有效減少由于CPU漏洞帶來的風(fēng)險(xiǎn)，保護(hù)自身的網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全視角轉(zhuǎn)變

實(shí)際上，除了英特爾，半導(dǎo)體行業(yè)領(lǐng)域多家企業(yè)近年來持續(xù)曝出漏洞問題。

就在今年10月，高通公司（Qualcomm）發(fā)布安全警告稱，其多達(dá)64款芯片組中的數(shù)字信號(hào)處理器（DSP）服務(wù)中存在一項(xiàng)潛在的嚴(yán)重的“零日漏洞”CVE-2024-43047，且該漏洞已出現(xiàn)有限且有針對(duì)性的利用跡象。根據(jù)高通公告，CVE-2024-43047源于使用后釋放（use-after-free）錯(cuò)誤，可能導(dǎo)致內(nèi)存損壞。

該漏洞影響范圍廣泛，涉及高通FastConnect、Snapdragon（驍龍）等多個(gè)系列共計(jì)64款芯片組，涵蓋了智能手機(jī)、汽車、物聯(lián)網(wǎng)設(shè)備等多個(gè)領(lǐng)域，將影響非常多的品牌廠商，如小米、vivo、OPPO、榮耀等手機(jī)品牌廠商都有采用高通驍龍4G/5G移動(dòng)平臺(tái)及相關(guān)5G調(diào)制解調(diào)器-射頻系統(tǒng)，蘋果iPhone 12系列也有采用驍龍 X55 5G 調(diào)制解調(diào)器-射頻系統(tǒng)。

AMD在2023年被曝出Inception（CVE-2023-20569）漏洞，該漏洞是一種新的瞬態(tài)執(zhí)行攻擊，影響所有AMD Zen架構(gòu)的處理器。結(jié)合了“Phantom speculation”和“Training in Transient Execution”（TTE）技術(shù)，允許攻擊者從非特權(quán)進(jìn)程中泄露任意數(shù)據(jù)，影響包括從Zen 1到Zen 4的所有Ryzen和EPYC處理器。

AMD Sinkclose（CVE-2023-31315）漏洞允許攻擊者在系統(tǒng)管理模式（SMM）中運(yùn)行惡意代碼，可能導(dǎo)致系統(tǒng)管理中斷（SMI）處理程序被利用，影響包括Ryzen 3000及第一代EPYC及更新的CPU。AMD Zen 2處理器寄存器漏洞（CVE-2023-20593）影響所有Zen 2處理器，攻擊者可以在虛擬機(jī)內(nèi)監(jiān)聽宿主機(jī)數(shù)據(jù)。

2022年，NVIDIAGPU被曝出CVE-2022-28181漏洞，NVIDIA GPU Display Driver內(nèi)核模式層中的越界寫入漏洞，允許非特權(quán)普通用戶通過crafted shader導(dǎo)致越界寫入。2021年，NVIDIA被曝出CVE-2021-1056漏洞，系NVIDIA GPU驅(qū)動(dòng)程序中的設(shè)備隔離漏洞，允許攻擊者在容器中創(chuàng)建特殊的字符設(shè)備文件，從而獲取宿主機(jī)上所有GPU設(shè)備的訪問權(quán)限。

2019年，清華大學(xué)計(jì)算機(jī)系研究團(tuán)隊(duì)發(fā)現(xiàn)電壓管理機(jī)制漏洞騎士漏洞（VolJokey），影響ARM TrustZone和Intel SGX等可信執(zhí)行環(huán)境。攻擊者可以通過該漏洞突破安全區(qū)限制，獲取核心密鑰并運(yùn)行非法程序，廣泛存在于彼時(shí)主流處理器芯片中。

對(duì)于半導(dǎo)體領(lǐng)域安全漏洞的密集發(fā)生，知道創(chuàng)宇404實(shí)驗(yàn)室總監(jiān)隋剛對(duì)記者表示，說明當(dāng)下行業(yè)包括制造工藝在內(nèi)的技術(shù)進(jìn)入一個(gè)瓶頸期，安全行業(yè)的視角也發(fā)生了變化。過去網(wǎng)絡(luò)安全的聚焦主要在應(yīng)用系統(tǒng)層面，如今已經(jīng)開始涉及車聯(lián)網(wǎng)、5G、衛(wèi)星、星鏈等領(lǐng)域。

半導(dǎo)體業(yè)內(nèi)資深人士李國強(qiáng)告訴記者，除去是否故意設(shè)置漏洞的因素，一些芯片上市時(shí)未被發(fā)現(xiàn)存在漏洞，后期才發(fā)現(xiàn)存在漏洞，有以往技術(shù)認(rèn)知不足的因素。這些漏洞存在一定歷史淵源，英特爾早期設(shè)計(jì)了80系列芯片，而產(chǎn)品向前兼容，即新一代產(chǎn)品兼容前一代或前幾代產(chǎn)品。英特爾的問題可能是其設(shè)計(jì)基于幾十年前的一個(gè)經(jīng)典架構(gòu)，這個(gè)架構(gòu)存在一些當(dāng)時(shí)無法預(yù)見、后續(xù)才能被發(fā)現(xiàn)的漏洞和隱患。

徐業(yè)禮對(duì)記者表示，在AI時(shí)代，類似英特爾安全漏洞的問題，可能基于AI系統(tǒng)的高價(jià)值目標(biāo)屬性被以更快和更具破壞性的方式利用。如AI系統(tǒng)因其處理和存儲(chǔ)大量敏感數(shù)據(jù)而成為攻擊者的理想目標(biāo)。AI算法，特別是機(jī)器學(xué)習(xí)模型，對(duì)處理器的特定功能（如SIMD指令集）有很高的依賴性，這可能被漏洞利用。云服務(wù)提供商廣泛使用，使得攻擊者可以通過遠(yuǎn)程漏洞利用影響大量用戶和數(shù)據(jù)。另外，攻擊者可以利用AI技術(shù)自動(dòng)化漏洞掃描和利用過程，提高攻擊的速度和規(guī)模。

推動(dòng)產(chǎn)業(yè)鏈發(fā)展完善

網(wǎng)絡(luò)安全漏洞包括多種類型，如攻擊者注入惡意腳本代碼的跨站腳本攻擊（XSS），通過在應(yīng)用程序的用戶輸入中插入惡意SQL語句欺騙數(shù)據(jù)庫執(zhí)行非法操作的SQL注入攻擊，攻擊者通過偽裝成合法用戶向應(yīng)用程序發(fā)送惡意請(qǐng)求，利用用戶在應(yīng)用程序中的身份執(zhí)行未經(jīng)授權(quán)操作的跨站請(qǐng)求偽造（CSRF），應(yīng)用程序意外或故意將敏感數(shù)據(jù)（如密碼、信用卡信息等）泄露給未經(jīng)授權(quán)的用戶，導(dǎo)致用戶隱私受到侵犯或經(jīng)濟(jì)損失的敏感數(shù)據(jù)泄露等形式。

CPU安全漏洞類型的安全風(fēng)險(xiǎn)并不會(huì)非常頻繁地發(fā)生，但一旦發(fā)生，將影響范圍非常廣泛，且修復(fù)難度較大。例如，2018年曝光的“熔斷”（Meltdown）和“幽靈”（Spectre）漏洞影響了全球大多數(shù)處理器芯片，幾乎涵蓋了所有主流的智能終端設(shè)備。這些漏洞允許攻擊者繞過內(nèi)存訪問的安全隔離機(jī)制，通過惡意程序獲取操作系統(tǒng)和其他程序的被保護(hù)數(shù)據(jù)，造成內(nèi)存敏感信息泄露。

徐業(yè)禮對(duì)記者表示，CPU等微處理器的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與其他行業(yè)相比，具有隱蔽性和長期風(fēng)險(xiǎn)的特點(diǎn)，硬件漏洞隱蔽性強(qiáng)，可能長期存在，難以檢測(cè)和防御。同時(shí)硬件漏洞難以通過軟件補(bǔ)丁修復(fù)，可能需要硬件更換或復(fù)雜的固件更新。同時(shí)在軟件層面，由于軟件和應(yīng)用程序依賴CPU特性，硬件漏洞可能波及整個(gè)技術(shù)生態(tài)系統(tǒng)的穩(wěn)定性和安全性。

隋剛對(duì)記者表示，安全行業(yè)依附于技術(shù)發(fā)展。類似于“知識(shí)無邊界”，技術(shù)作為知識(shí)的另一種層次體現(xiàn)也是同理。但當(dāng)下的國際環(huán)境中，知識(shí)與技術(shù)呈現(xiàn)有邊界的特點(diǎn)，也會(huì)出現(xiàn)分流的趨勢(shì)。目前國內(nèi)市場(chǎng)中，伴隨信創(chuàng)趨勢(shì)的確定，較為核心的技術(shù)包括軟件層面的操作系統(tǒng)，硬件層面的CPU等芯片制造等，都需要時(shí)間去沉淀，需要技術(shù)去打磨，同時(shí)需要時(shí)間去等待軟硬件互相適配，這些都將影響信息產(chǎn)業(yè)的建設(shè)與推進(jìn)進(jìn)展。

李國強(qiáng)表示，一家芯片公司在某個(gè)領(lǐng)域幾近一家獨(dú)大帶來一定隱患，但對(duì)于半導(dǎo)體行業(yè)，這種情況難以避免。當(dāng)規(guī)模越大、成本越低、效益越好的邏輯成立時(shí)，行業(yè)天然會(huì)形成接近壟斷的局面。而要找到更安全的路徑，國內(nèi)還是要發(fā)展自己的PC和服務(wù)器芯片。目前國產(chǎn)CPU在一些對(duì)信息安全要求高的領(lǐng)域已經(jīng)在應(yīng)用，但基于性能要求，可能仍無法完全替代最先進(jìn)的英特爾芯片或者要靠數(shù)量來獲得足夠的性能。

英特爾漏洞一事對(duì)國內(nèi)服務(wù)器市場(chǎng)影響仍需觀察，國內(nèi)一家業(yè)務(wù)包含服務(wù)器租售的知名云計(jì)算平臺(tái)相關(guān)商務(wù)人員告訴記者，該事件還未影響客戶使用CPU芯片的意愿，英特爾在x86領(lǐng)域的地位仍難以撼動(dòng)，該公司的AI領(lǐng)域客戶用的還是搭載英特爾芯片的服務(wù)器。

作為技術(shù)發(fā)展的重要依附方，安全行業(yè)也會(huì)發(fā)生分流，比如聚焦海外核心技術(shù)產(chǎn)品與國內(nèi)信創(chuàng)產(chǎn)業(yè)。近年來，國務(wù)院、網(wǎng)信辦、工信部發(fā)布一系列網(wǎng)絡(luò)安全相關(guān)政策，旨在加強(qiáng)網(wǎng)絡(luò)安全體系保障與能力建設(shè)，推進(jìn)傳統(tǒng)安全產(chǎn)品升級(jí)，筑牢可信可控的數(shù)字安全屏障。在這一背景下，網(wǎng)絡(luò)安全硬件設(shè)備成為行業(yè)關(guān)注焦點(diǎn)，它是定制化集成上游元器件后，針對(duì)客戶特定網(wǎng)安需求場(chǎng)景，提供一系列專業(yè)化解決方案的安全設(shè)備。

艾瑞咨詢?cè)谘袌?bào)中分析稱，相關(guān)國產(chǎn)化軟硬件成熟度提升，從“可用”進(jìn)入到“好用”階段，在政策的大力支持下國產(chǎn)化網(wǎng)絡(luò)安全硬件設(shè)備將會(huì)成為未來行業(yè)增長的主要?jiǎng)恿�；在�?fù)雜多變的網(wǎng)絡(luò)環(huán)境下，需求方對(duì)于網(wǎng)絡(luò)安全產(chǎn)品的要求將繼續(xù)提升，專用網(wǎng)絡(luò)安全硬件平臺(tái)將逐步替代通用網(wǎng)絡(luò)安全硬件設(shè)備。

徐業(yè)禮表示，在國家安全的層面上，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)對(duì)英特爾產(chǎn)品的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提出審查建議，反映了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全的深切關(guān)注。這一舉措可能會(huì)促使國內(nèi)各行業(yè)加強(qiáng)對(duì)所使用的硬件產(chǎn)品的安全評(píng)估，確保它們不會(huì)成為國家網(wǎng)絡(luò)安全的潛在威脅。同時(shí)，這也可能會(huì)推動(dòng)國內(nèi)半導(dǎo)體行業(yè)的自主創(chuàng)新，減少對(duì)外部供應(yīng)商的依賴，從而增強(qiáng)國家供應(yīng)鏈的安全性和自主可控能力。此外，這一事件也可能加強(qiáng)國際網(wǎng)絡(luò)安全合作，共同應(yīng)對(duì)全球性的網(wǎng)絡(luò)安全挑戰(zhàn)，為維護(hù)網(wǎng)絡(luò)空間的和平與穩(wěn)定貢獻(xiàn)力量。

(本文來自第一財(cái)經(jīng))

贊助本站