AMD處理器漏洞追蹤 CTS做法不循常規 疑雲重重

在互聯網時代，晶元作為諸多硬體產品的核心和基礎，被視為安全的基礎。但是，自從英特爾晶元門爆發後，晶元安全再次牽動著的人們的神經。

3月13日，以色列安全公司STS實驗室披露了AMD處理器多款晶元存在安全漏洞。該公司聲稱，如果用戶不注意，這些安全漏洞可能給黑客入侵和攻擊提供可乘之機。

據悉，AMD處理器存在多個漏洞和可利用的製造商後門，包括AMD最新的EPYC、Ryzen、Ryzen Pro 和 Ryzen Mobile系列處理器。這些漏洞可能會大大增大相關企業、組織受到網路攻擊的風險。

CTS認為使用AMD處理器的網路是存在一定風險的，這些漏洞我們已經能確認他足夠讓攻擊者在滲透目標網路後，作為一個難以被安全軟體檢測到的後門攻擊方式存在，不會因為機器重啟或操作系統重裝而消失，它們會長期駐留在目標系統的AMD安全處理器和晶元組上。

雖然此事已經曝光，但是圍繞著CTS的行為和動作又有新的聲音。

因為，CTS向全世界披露這些缺陷時，沒有遵循安全行業協議，也沒有披露某些關鍵技術細節，這讓一些專家有點摸不著頭腦。

因為，在正常情況下，研究人員應在公開披露之前提前60-90天通知公司。比如，在「Spectre」和「Meltdown」被公開披露之前，英特爾、AMD和其他晶元製造商有一個7個月的緩衝時間。這短時間，可用來開發和部署至少部分修復程序。

安全公司RenditionSec的創始人傑克·威廉姆斯稱，「這不是普通人應該頭疼的事情，反而企業客戶將不得不面對更多的問題，因為它們的威脅模型和工作負載顯然不同，這些漏洞會給它們帶來更多風險。同時，CTS處理信息泄露的方式以及網站本身在安全行業『非常不同尋常』。」

而知乎上名為Lexington的網友更是指出，「GPZ給了至少90天時間給各廠商進行修復準備，然後才選擇公布漏洞，給出的白皮書也很詳細。CTS只給了AMD不到24小時時間反應，『白皮書』也只有大概介紹，沒有Proof of concept，沒有用例。技術信息為零。CTS的理由也只是為了保證安全。」

在他的介紹中，我們了解到：CTS聯合創始人里有個叫Yaron Luk-Zilberman的，是NineWells Capital對沖基金的創始人，和股票市場有直接的利益聯繫。CTS位於以色列，2017年才成立，之前沒有任何人聽說過的公司。他們網站的dislaimer也說明，發布的內容不一定屬實，還可能涉及利益交換。

據悉，在公布漏洞之前，他們花了一天的時間建立了一個網站，名為amdflaws.com。而且註冊第二天，該公司就把漏洞發布出來。同時，該網站2月22日在godaddy註冊，註冊還是用的代理，這樣做是為了隱藏身份。

同時，這名Lexington的網友還提出，CTS發布的一些內容還未經任何第三方證實。

因此，天極網將持續關注此次事件的發展進程！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！