C910和C920 RISC-V CPU中的GhostWrite漏洞

CISPA信息安全中心的研究人员发现了一种名为“GhostWrite”的漏洞，该漏洞由T-Head的XuanTie C910和C920 RISC-V CPU中的硬件错误引起。该漏洞导致虚拟内存地址到物理地址的转换功能失效，攻击者可能因此访问内存内容和连接的设备。

研究人员使用RISCVuzz的“差分硬件模糊测试”工具发现了该漏洞，并在相关论文中详细描述了这一工具。他们还发现了T-Head C906和C908 CPU中的“Halt and Catch Fire”漏洞，这些漏洞可能被用于拒绝服务攻击。

T-Head CPU被用于许多流行的RISC-V开发板的系统芯片（SoC）中，例如BeagleV®-Ahead和Sipeed LicheePi4A。这些SoC模块还出现在各种基于RISC-V的笔记本电脑和其他设备中，包括Scaleway的Elastic Metal RV1 RISC-V云服务器。

这些漏洞使得多用户或多租户环境中的系统变得不安全，但在实践中可能问题不大，因为开发板和笔记本电脑通常是单用户使用。Scaleway已在其RV1 FAQ中添加了关于GhostWrite漏洞的条目，并提供了更新内核的指导。

对于无法避免由不受信任用户使用或运行不受信任代码的系统，研究人员建议在操作系统中禁用RISC-V向量扩展，但这会显著降低CPU的性能和功能。

RISCVuzz采用的差分模糊测试技术扩展了传统的随机指令执行方法，通过比较不同实现中指令效果的差异来发现漏洞。该技术帮助CISPA团队发现了QEMU RISC-V仿真中的漏洞以及硬件错误。

RISC-V的采用仍处于早期阶段，存在硬件制造商等待更好软件支持和软件开发者等待更好测试硬件的“鸡与蛋”问题。例如，Debian对RISC-V的支持仅限于“Sid”不稳定版本，Ubuntu在许多RISC-V开发板上的可用性也存在许多限制。

CISPA研究人员明确指出GhostWrite是T-Head CPU的问题，而非RISC-V的普遍问题。他们在论文中建议制造商在未来设计中考虑微码层，以便能够通过硬件补丁缓解CPU漏洞。