Zenbleed 漏洞影响 AWS 环境，超过六成存在风险

关键要点

• 超过 62% 的 AWS 环境易受 Zenbleed 漏洞攻击。
• 漏洞影响所有 AMD Zen 2 处理器，包括 Ryzen 和 Epyc。
• 攻击者可以利用此漏洞进行权限提升和数据访问。
• AMD 建议受影响的组织立即实施 AGESA 固件更新。

最近的报告显示，超过 62% 的 环境存在易受攻击的风险，受到 Zenbleed漏洞影响。此漏洞是由于使用后释放的内存损坏（use-after-free）所导致，影响所有 AMD Zen 2 处理器，包括 Ryzen系列（3000、4000、5000 和 7020 型号）以及 Epyc（罗马系列）。根据 的报道，攻击者可以利用此漏洞（CVE-2023-20593）来促进 AWS 环境中 Elastic Compute Cloud 实例的权限提升或数据访问，而这些实例大多运行在易受攻击的芯片上，尤其是数据中心的 Epyc CPU。

项目 Zero 的研究员 Tavis Ormandy 是发现并报告该漏洞的专家，他早前提到，若恶意利用此漏洞，可能导致密码、加密密钥以及其他敏感信息的盗取。针对受 Zenbleed 影响的组织，AMD 已建议尽快实施 AGESA 固件更新。但对于其他产品的更新，预计会在今年最后一个季度前推出。

综上所述，面对 Zenbleed 漏洞的威胁，组织需采取及时行动，以确保其 AWS 环境的安全性。