Разработчики: | T-Head Semiconductor |
Отрасли: | Электротехника и микроэлектроника |
Технологии: | Процессоры |
2024: Выявление уязвимости в процессоре, которая позволяет хакерам взламывать дата-центры и облачные серверы
В начале августа 2024 года группа исследователей из Германии раскрыла, что дыра в китайском процессоре RISC-V позволяет хакерам взламывать дата-центры и облачные серверы.
RISC-V — это архитектура набора команд с открытым исходным кодом (ISA), предназначенная для разработки пользовательских процессоров для различных типов приложений, включая встроенные системы, микроконтроллеры, центры обработки данных и высокопроизводительные компьютеры.
Исследователи Центра информационной безопасности имени Гельмгольца (CISPA) обнаружили уязвимость в процессоре XuanTie C910, производимом китайской компанией-производителем микросхем T-Head. По словам экспертов, XuanTie C910 является одним из самых быстрых процессоров RISC-V.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Уязвимость, получившая название GhostWrite, позволяет злоумышленникам с ограниченными привилегиями считывать и перезаписывать данные из физической памяти, что потенциально позволяет им получить полный и неограниченный доступ к целевому устройству. Хотя уязвимость GhostWrite специфична для XuanTie C910, было подтверждено, что она затрагивает несколько типов систем, включая ПК, ноутбуки, контейнеры и виртуальные машины в облачных серверах.
В список уязвимых устройств, названных исследователями, входят облачные системы Scaleway Elastic Metal RV bare-metal, одноплатные компьютеры Sipeed Lichee Pi 4A, Milk-V Meles и BeagleV-Ahead, а также некоторые вычислительные кластеры Lichee, ноутбуки и игровые консоли.
Чтобы продемонстрировать свои выводы, исследователи показали, как злоумышленник может использовать GhostWrite для получения привилегий администратора или получения пароля администратора из памяти. Исследователи сообщили о своих выводах в компанию T-Head, но пока неясно, предпринимает ли поставщик какие-либо действия по этому поводу. Данная уязвимость является аппаратной ошибкой, которую нельзя исправить с помощью обновлений или исправлений программного обеспечения.[1]
Примечания
Подрядчики-лидеры по количеству проектов
Lenovo (4)
Т1 Интеграция (ранее Техносерв) (4)
МЦСТ (4)
Микрон (Mikron) (4)
Национальный центр информатизации (НЦИ) (3)
Другие (48)
Базальт СПО (BaseALT) ранее ALT Linux (1)
Байкал Электроникс (Baikal Electronics) (1)
МЦСТ (1)
Cloud4Y (ООО Флекс) (1)
Huawei Россия (Хуавэй) (1)
Другие (4)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
МЦСТ (8, 22)
Микрон (Mikron) (2, 9)
Oracle (1, 7)
Nvidia (Нвидиа) (18, 6)
Intel (37, 5)
Другие (195, 15)
Байкал Электроникс (Baikal Electronics) (1, 2)
Nvidia (Нвидиа) (1, 1)
Микрон (Mikron) (1, 1)
Intel (1, 1)
Huawei (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Микрон Интегральные микросхемы MIK - 9
Эльбрус - 8
Oracle SPARC - 7
Intel Xeon Scalable - 5
Эльбрус 4.4 - 4
Другие 23
Baikal-M - 2
Intel Xeon Scalable - 1
Микрон Интегральные микросхемы MIK - 1
Huawei Kunpeng (процессоры) - 1
Nvidia Tesla - 1
Другие 0