Spectre 공격에 대한 보호를 우회할 수 있는 eBPF 하위 시스템의 취약점

Linux 커널(CVE-2021-33624)에서 eBPF 하위 시스템을 사용하여 Spectre 클래스 취약점에 대한 보호를 우회할 수 있는 취약점이 확인되었습니다. 특정 작업의 추측 실행. 스펙터(Spectre) 공격을 위해서는 추측성 명령 실행으로 이어지는 특권 코드에 특정 명령 시퀀스가 ​​있어야 합니다. 실행을 위해 전송된 BPF 프로그램을 조작함으로써 eBPF에서 유사한 명령을 생성하고 커널 메모리의 내용과 물리적 메모리의 임의 영역을 사이드 채널을 통해 유출할 수 있습니다.

이 취약점은 BPF 프로그램에서 오류와 허용되지 않는 활동을 감지하는 데 사용되는 검증 프로그램의 결함으로 인해 발생합니다. 검증자는 가능한 코드 실행 경로를 열거하지만 명령어 세트 아키텍처의 의미론적 관점에서 허용할 수 없는 분기 옵션은 건너뜁니다. BPF 프로그램을 실행할 때 검증자가 고려하지 않은 분기 옵션은 프로세서에 의해 잘못 예측되어 추측 모드에서 실행될 수 있습니다. 예를 들어, "로드" 작업을 분석할 때 검증자는 명령어가 값이 항상 지정된 경계 내에 있는 주소가 있는 레지스터를 사용할 것으로 예상하지만 공격자는 프로세서가 추론적으로 다음과 같은 작업을 수행하려고 시도하는 조건을 만들 수 있습니다. 확인 조건에 맞지 않는 주소입니다.

이 문제는 커널 4.15 출시 이후부터 나타나기 시작해 패치(1, 2, 3, 4) 형태로 수정됐다. 배포판(Debian, RHEL, Ubuntu, Fedora, SUSE, Arch)에서는 취약점이 수정되지 않은 상태로 남아 있습니다.

또한 Spectre 취약점으로부터 보호하기 위한 도구가 성능에 미치는 영향에 대한 참고 사항을 확인할 수 있습니다. 이 노트에는 Firefox에서 반복하기 어려운 오류를 디버깅하기 위해 Mozilla에서 만든 rr(Record and Replay) 디버거의 최적화 결과가 요약되어 있습니다. 디렉터리 존재를 확인하는 데 사용되는 시스템 호출을 캐싱하면 테스트 프로젝트의 "rr 소스" 작업이 3분 19초에서 36초로 단축되었습니다.

최적화 작성자는 스펙터 보호를 비활성화한 후 성능이 어떻게 변하는지 확인하기로 결정했습니다. "mitigations=off" 매개변수를 사용하여 시스템을 부팅한 후, 최적화하지 않은 "rr 소스"의 실행 시간은 2분 5초(1.6배 더 빨라짐)였고, 최적화를 사용하면 33초(9% 더 빨라졌습니다)였습니다. 흥미롭게도 Spectre 보호를 비활성화하면 커널 수준에서 코드 실행 시간이 1.4배(2m9s에서 1m32s로) 단축되었을 뿐만 아니라 사용자 공간에서 실행 시간도 절반으로 줄었습니다(1m9s에서 0m33s). 이는 아마도 CPU 캐시 작업 및 TLB 효율성이 감소했기 때문일 것입니다. 스펙터 보호가 활성화되면 재설정됩니다.

출처 : opennet.ru