Технологии AMD SEV и Intel SGX позволяют создавать защищённые и зашифрованные области в памяти с ограниченным доступом. Первая в большей степени ориентирована на виртуализацию, вторая — на конфиденциальные вычисления. И для обеих исследователи нашли способ обойти защиту и ограничения, причём в обоих случаях используются атаки на аппаратном уровне с манипуляцией напряжением.

В статье, озаглавленной One Glitch to Rule Them All (Один глитч чтобы править всеми), исследователи из Берлинского технического университета (TU Berlin) описывают метод атаки на AMD Platform Secure Processor (PSP), независимый чип, присутствующий во всех процессорах EPYC всех поколений. PSP отвечает за безопасность платформы в целом, и за работу технологии SEV (Secure Encrypted Virtualization) во всех её вариантах. PSP проверяет целостность и корректность прошивок, загружаемых по цепочке во время старта системы.

Первичный загрузчик считывается из необновляемой ROM-области, после чего управление передаётся следующему загрузчику. Он проверяет и запускает внутреннюю ОС (PSP OS) и прошивку SEV, образы которых находятся уже в отдельной флеш-памяти на шине SPI. Атака, упрощённо говоря, сводится к инициированному сбою во время первичного общения PSP c ROM, что позволяет с некоторой долей вероятности заставить PSP посчитать ключ атакующего корректным и затем без проблем загрузить подписанные этим ключом и модифицированные по желанию атакующего образы из флеш-памяти на SPI.

Указанный сбой можно вызвать, точно манипулируя напряжением питания PSP. Для этого исследователи задействовали микроконтроллер Teensy 4.0, который подключался к шинам управления регулятором напряжения и SPI, а также к линии ATX для сброса CPU по питанию. Так как каждый сервер уникален, нужно время на первичную настройку параметров (около получаса), после чего микроконтроллер в автоматическом режиме начнёт атаковать систему со скоростью порядка 1100 попыток в час.

Ограничением в данном случае является тайм-аут линии ATX, поскольку после каждой неудачной попытки необходимо сбрасывать питание CPU. Это увеличивает время загрузки — от старта атаки до получения полного контроля проходит в среднем от 13,5 (Zen 1) до 46,5 (Zen 3) минут. Исследователи оговариваются, что это именно средние значения, так как разброс достаточно велик и неравномерен и не даёт даже приблизительно оценить время успешной атаки.

Схема атаки

Тем не менее, есть шанс, что увеличенное время загрузки никто не заметит, поскольку крупные системы (в первую очередь с большим объёмом памяти) и так могут загружаться не один десяток минут. В случае успешной атаки её будет весьма трудно обнаружить, поскольку появляется возможность подавить любые дальнейшие проверки и подменить данные внутренней телеметрии.

Основную опасность данный метод атаки представляет для облачных провайдеров и крупных корпоративных заказчиков — модификация сервера может быть произведена в цепочке поставок или сотрудником компании с нужными полномочиями. На подготовку тестовой системы на базе платы Supermicro H11DSU-iN и AMD EPYC 72F3 исследователям понадобилось менее четырёх часов. При это атака очень дешёвая — никакого особого оборудования не нужно, а из расходных материалов требуется только микроконтроллер (примерно $30) и SPI-программатор (около $12).

Маскировка лишних чипов на плате тоже вряд ли вызовет особые проблемы. В целом, данный сценарий очень напоминает историю Bloomberg от 2018 года о «жучках» в серверах Supermicro, поставляемых крупным американским IT-игрокам, которая не нашла официального подтверждения со стороны упомянутых в ней компаний.

Атака на AMD PSP была вдохновлена работой исследователей из Бирмингемского университета, которые развили идеи Plundervolt (CVE-2019-11157) и назвали свой метод VoltPillager. В случае Plundervolt точное манипулирование напряжением CPU позволяла нарушить корректность работы SGX (Software Guard Extensions) и целостность защищённых анклавов памяти, что в итоге позволяло восстановить ключи и получить содержимое анклавов.

Тестовый вариант VoltPillager

Атака требовала привилегированного доступа к системе и точно так же задействовала шину регулятора напряжения (SVID, Serial Voltage Identification). Доступ к этой шине можно было получить программно, так что Intel выпустила соответствующие патчи, позволяющие принудительно отключить эту возможность. Но против модификации «железа» они не помогают. В данном случае требуется только микроконтроллер (тот же Teensy 4.0) и доступ к системе.

И для AMD, и для Intel, по мнению исследователей, для защиты требуется аппаратная модификация самих процессоров, которые, в первую очередь, должны самостоятельно отслеживать питание и команды, управляющие им. Аналогичные методы атаки изучены и для других архитектур и чипов.

Что касается описанных выше методов, то AMD пока никак не прокомментировала ситуацию, а Intel сообщила, что данный метод находится вне фокуса защиты SGX, поскольку подразумевает модификацию «железа». За последние полгода это уже четвёртая атака на AMD SEV — для двух, выявленных весной, и ещё одной, под названием CIPHERLEAKS, признанной на днях, компания уже выпустила патчи и обновления. А Intel SGX успела пострадать и от Spectre, и от других уязвимостей.

Как правило, если речь идёт о «закладках», имеется в виду программная часть — от системной прошивки и BIOS до высокоуровневого ПО. Но программное обеспечение виновато не всегда. Возможность присутствия аппаратных «жучков» уже обсуждалась в прошлом году в связи с Supermicro. Теперь же обнаружены нелегальные версии некоторых сетевых коммутаторов Cisco Systems.

У оригинального коммутатора Cisco надписи сделаны бледно-серым (справа)

Само имя Cisco в представлениях не нуждается: это один из самых известных производителей и поставщиков сетевого оборудования. Вокруг Cisco даже сложился своеобразный культ среди ИТ-специалистов. Как выяснила F-Secure Consulting, этим могут пользоваться злоумышленники, предлагая «поддельные» устройства со знакомым логотипом. Речь идёт о коммутаторах Cisco Catalyst 2960-X. Эти устройства уже не новы и не блещут запредельными скоростями, но в ряде случаев их возможностей всё ещё достаточно.

Чипированный коммутатор, случай А

Пока зафиксировано лишь два случая, в обоих речь идёт о модели WS-2960X-48TS-LV05, полученной якобы от проверенного поставщика, гарантирующего подлинность продукции. Выявить «нестандартность» коммутаторов удалось благодаря обновлению системного ПО, которое привело к их неработоспособности.

Внешне устройства мало чем отличались от оригинальных, хотя при пристальном изучении разницу и можно было заметить, как указано в отчете F-Secure. К счастью, никаких «бэкдоров» в конструкции поддельных коммутаторов найдено не было, однако вполне возможно, что это своеобразный «пробный шар» со стороны злоумышленников.

В этот раз программное обеспечение помогло выявить подделку

Внутри устройств обнаружились следы ремонта и модификации; в частности, очевидно, что чипы флеш-памяти, хранящие прошивку, были заменены. Это могло произойти и в рамках обычного ремонта, однако никаких официальных данных об этой процедуре найти не удалось.

Внутри одного из коммутаторов обнаружилась крошечная дополнительная платка, содержащая чип I2C EEPROM ёмкостью 512 Кбит. Она соединялась с основной системой посредством дополнительных проводов — примерно так же «чипируются» игровые консоли. Второе устройство также содержало дополнительный EEPROM, однако в этом случае дополнение было выполнено намного более профессионально.

Оригинал (справа) и подделка, случай B. Видны отличия в разводке и качестве шелкографии

После обновления ПО устройства отказались проходить аутентификацию, что и привело к их обнаружению. Разумеется, самой Cisco крайне не понравился сам факт появления на рынке такой продукции, поскольку он ставит под удар имя и репутацию компании, о чём она и заявила. Полный отчёт об исследовании поддельных коммутаторов Cisco можно скачать с сайта F-Secure, он содержит подробный разбор с массой технических деталей.

Легенды о «закладках» и бэкдорах в компьютерном аппаратном обеспечении ходят давно. Далеко не все из них имеют под собой хоть какие-то основания, хотя в ряде случаев различные механизмы удалённого управления и имеют уязвимости, которые вполне может использовать опытный злоумышленник.

В 2018 году прогремел скандал, когда Bloomberg заявила, что на платах Supermicro может быть крошечный чип, не предусмотренный спецификациями. Эта «модификация» якобы затронула около 30 компаний. Впрочем, все «пострадавшие» хором заявляли, что никаких лишних чипов в их оборудовании нет, а Supermicro даже провела независимое исследование. Правительство США, тем не менее, считает, что подобные атаки могут быть делом рук китайских военных.

Компания Sepio Systems, чьей специализацией является безопасность аппаратных решений, ранее уже подтвердила, что подобные аппаратные закладки возможны, и специалисты компании встречаются с ними не в первый раз. В частности, описывается случай с сервером той же Supermicro, у которого вредоносный чип был внедрён в дорожки, ведущие к порту Ethernet. Обнаружить его активность удалось по нетипичному сетевому трафику, но до конца разобраться в том, какие данные передаёт или обрабатывает устройство, специалистам не удалось.

Аппаратные закладки: миф или реальность?

Так сколько же стоит подобная аппаратная модификация и может ли она быть проведена не спецслужбами и прочими организациями с практически неограниченными ресурсами? Энтузиасты тщательно проверили все возможные способы и доказали, что такая операция возможна. Исследователь Монта Элкинс (Monta Elkins) обещал предоставить подробное описание данного типа атаки на конференции CS3sthlm, которая пройдет с 21 по 24 октября в Стокгольме.

Элкинс утверждает, что ничего сверхсложного в ней нет и каких-то особых навыков не требуется — любой достаточно мотивированный злоумышленник, будь то шпион, хакер или представитель криминальных кругов, легко может снабдить нужный ему сервер или сетевое устройство соответствующей модификацией. Опытному хакеру, который дружит не только с ПО, но и с паяльником, такая операция обойдётся всего в $200, включая затраты на оборудование.

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

При этом $150 будет стоить фен для пайки, ещё $40 уйдёт на микроскоп, а сами чипы, используемые для взлома, могут стоить всего $2 за штуку. Автору будущего доклада удалось модифицировать брандмауэр Cisco таким образом, что, по его мнению, взлом не заметят большинство системных администраторов.

В качестве чипа Элкинс выбрал 8-бит микроконтроллер Atmel ATtiny85 с платы Digispark Arduino. Эта микросхема не так мала, как «рисовое зёрнышко» из статьи Bloomberg, но её размеры в корпусе SOIC-8 составляют всего 4 × 5 мм. При этом контроллер, работающий на частоте 16,5 МГц, представляет собой довольно мощное устройство. 

Исследователь выбрал место на системной плате Cisco ASA 5505, не требующее дополнительных проводов и установил туда данный чип, предварительно снабдив его соответствующей прошивкой. Элкинс утверждает, что такая модификация возможна и для других устройств Cisco. Компания в свою очередь заявила: «Если будет обнаружена новая информация, о которой должны знать наши клиенты, мы сообщим её по обычным каналам связи».

Взломанная системная плата Cisco ASA 5505. «Лишний» чип в левом нижнем углу

Как видно на снимке, сходу обнаружить лишнюю микросхему не так-то просто, хотя в примере использовалась достаточно небольшая и не слишком сложная системная плата. Если произвести пайку аккуратно, то чип создаёт впечатление установленного на заводе и совершенно не привлекает внимания. Элкинс утверждает, что возможна куда более скрытная установка, а также использование более мелких микросхем. ATtiny85 он выбрал просто из-за легкости программирования.

Контроллер припаян к выводам последовательного порта. После включения устройства чип  дожидается загрузки ОС брандмауэра, а затем имитирует действия человека. Он инициирует процедуру восстановления пароля, после чего создаёт новую учётную запись администратора и, таким образом, получает доступ ко всем настройкам устройства.  Дальнейшее зависит от намерений взломщика: возможно получение полного удалённого доступа к системе, отключение всех настроек безопасности, доступ к сетевым логам и прочим данным.

TinyFPGA AX2: стоимость $19, габариты ПЛИС Lattice  XO2-1200 — 2,5 × 2,5 миллиметра

Другой исследователь, Траммел Хадсон (Trammell Hudson), также подтвердил возможность аппаратного взлома. Он воспроизвёл ситуацию с платой Supermicro и подключился к контроллеру BMC, отвечающему, в числе прочего, и за удалённый доступ к системе. В качестве «зловреда» Хадсон выбрал крошечную ПЛИС площадью всего 2,5 мм², заменив ей один из резисторов на системной плате. Вероятнее всего, он использовал микросхему Lattice XO2-1200.

Таким образом, на сегодняшний день возможность аппаратного взлома различной IT-техники полностью доказана и подтверждена. Самое опасное в такой возможности то, что воспользоваться ей может практически любой достаточно опытный энтузиаст, даже не располагающий серьёзными денежными средствами. В ближайшие годы компаниям, отвечающим за кибербезопасность, предстоит очень много работы. Даже обычным опытным пользователям можно рекомендовать тщательный осмотр своих устройств на предмет наличия «лишних» чипов.