bus领导的团队在IEEE HOST 2025硬件黑客竞赛中获得第二名
通过 莫林·l·斯坦顿
来自波士顿大学的一个团队与IBM和Red Hat的澳门威尼斯人注册网站研究人员合作,在IEEE面向硬件的安全和信任国际研讨会(HOST)的首届硬件黑客竞赛中获得了第二名。 在他们的演示中,他们暴露了云提供商用于跨多个用户共享硬件资源的常用方法中的一个关键漏洞。
The demo was led by Chathura Rajapaksha, BU PhD candidate of Electrical and Computer Engineering (ECE) with BU ECE Professors Manuel Egele and Ajay Joshi; IBM researchers Sandhya Koteshwara, Apoorve汉, and 胡伯图斯因特网; and Ret Hat researcher Bandan Das.
他们的项目名为“使用直通式PCIe设备攻击云系统”,重点关注被称为PCI直通的关键性能优化。 这种技术广泛应用于云环境中,让虚拟机(vm)直接访问物理PCI Express (PCIe)设备,如gpu和NVMe驱动器。 虽然PCI直通提高了性能,但该团队表示,它也可能带来严重的安全风险。
在现场演示中,该团队展示了恶意VM如何写入PCIe设备配置空间的特定未分配区域,从而导致严重错误,导致主机崩溃或设备无法使用。 这种攻击有效地执行拒绝服务(DoS)。, 导致同一主机上的所有虚拟机中断,直至重启。 他们的演讲还探讨了可能导致这种漏洞的因素,考察了虚拟化堆栈的不同层,包括硬件、系统软件和管理程序实现。
Chathura说:“这是我们所知道的第一个工作,它显示了如何写入PCIe设备配置空间的未分配区域会引发严重的错误,包括允许VM关闭主机系统。” “我们的工作强调,在保护云环境时,需要超越软件堆栈。 要想领先于新出现的威胁,就需要系统架构师、虚拟化堆栈开发人员和硬件制造商之间更密切的合作。”
澳门威尼斯人注册网站研究团队认为,这次攻击演示将揭示硬件安全中一个经常被忽视的方面,突出值得更仔细审查的漏洞。 通过展示这种攻击媒介,他们旨在鼓励安全社区进行更深入的澳门威尼斯人注册网站研究和讨论,最终推动防御策略的创新。
该活动将于2025年5月5日至8日在加州圣何塞举行,硬件安全爱好者、学生和专业人士将齐聚一堂,展示他们在现实生活中的硬件和嵌入式系统黑客攻击技能。 了解更多澳门威尼斯人注册这次活动的信息 在这里.
This work was funded through the 2025红帽合作澳门威尼斯人注册网站研究孵化奖.