不久前，阿姆斯特丹的Vrije大学网络安全研究团队发布的一则警告，让人不禁为那些依赖于Linux内核的系统捏了一把汗。这项研究揭露了一种全新的“原生分支历史注入”漏洞，标号为 CVE-2024-2201。这项漏洞的出现，意味着在英特尔处理器上运行的Linux内核内存，再次面临敏感数据的泄露风险。

如同一场接连不断的噩梦一般，Xz后门事件尚未平息，Linux又面临新的“核泄露”危机。这次的攻击方式显示出攻击者能够绕过现有的Spectre v2/BHI缓解措施，通过推测执行手段读取任意内存数据。这意味着，一旦攻击者成功入侵，系统中承载的密码、加密密钥和其它敏感信息都将曝露在掌控之中。

CERT协调中心 的官方声明中提到，未经身份验证的攻击者 可以利用该漏洞，推测性地跳转到选定的小工具（Gadget），从而泄露CPU特权内存中的信息。此项研究指出，攻击者甚至可以以每秒 3.5KB 的速率，泄露任意内核内存，这对企业和个人用户来说，无疑是一个严峻的威胁。

让我们回顾一下，核泄漏的历史。早在六年前，Meltdown（熔断漏洞）和Spectre（幽灵漏洞）便被曝光，毫无疑问，它们是计算机安全史上的两个重要节点。英特尔、AMD、苹果、ARM等众多主流处理器均受到了这次漏洞的冲击。它们利用了处理器推测执行的缺陷，允许攻击者进入内核内存并访问高度敏感的数据。思及这些，由于技术的快速进步，类似的攻击方式也在不断演化，依旧潜藏在我们身边。

研究者的发现与思考

研究团队揭露的这个新的“原生分支历史注入”漏洞，甚至能够在禁用 Linux的非特权eBPF（扩展伯克利数据包过滤器） 的情况下发起攻击。在已经被恶意软件攻陷的计算机上，攻击者可以通过篡改推测执行路径，窃取与其他进程相关联的敏感数据。这显然颠覆了之前的安全应对策略，使得许多系统管理员和企业不得不重审现有的防护措施。

VUSec团队所使用的“InSpectre Gadget”分析工具，仿佛是揭开黑暗面具的一把钥匙，进一步证明了即使在凝聚了众多防御措施的系统中，仍然存在许多潜在的“gadget”可以被攻击者利用。如此看来，该漏洞影响到了多个操作系统，包括 Illumos、Red Hat、SUSE Linux等，这不仅是一个简单的技术问题，更是一个由此引发的安全警报。

面对漏洞，企业应如何应对？

随着这项漏洞的公开，各大厂商迅速开始采取相应的缓解措施。Illumos计划在本周内添加相应的BHI缓解措施，而Linux基金会表示这已成为Linux内核开发团队的标准工作。此外，红帽已默认禁用非特权eBPF，确保在标准配置中无法利用此漏洞。而AMD则在声明中表示，尚未发现自家产品受此新漏洞的影响。

即使对普通用户而言，风险看似并不显著，但此类潜在风险的积累，终将可能酿成大祸。面对不断演化的攻击手段，群体的安全意识显得愈加重要。英特尔建议用户结合现有的防护技术，如禁用非特权eBPF、启用增强型间接分支限制推测（eIBRS），并在必要时添加 LFENCE 和 BHB清除序列。显然，安全防护的未来，离不开每一个小环节的努力和配合。

最后的安全建议

在这场信息技术的军备竞赛中，安全意识与更新措施同样关键。如今，尽管技术层次不断提升，攻击者的手段也在不断演化。建议广大用户及企业，保持软件和系统的定期更新，并定期审视和完善自身的安全防护措施；建立适当的防护策略和应急响应机制。只有当每一个人都意识到安全的重要性，并行为付诸实践，才能在这个充满挑战的数字时代，筑起一道有效的防线。保持警惕，确保信息安全，让我们共同抵御这场看不见的战争。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！