Dynamic Frequency-Based Fingerprinting Attacks against Modern Sandbox Environments

要約

クラウド コンピューティングの状況は近年大幅に進化し、最新のクラウド アプリケーションの多様な要求を満たすためにさまざまなサンドボックスが採用されています。
これらのサンドボックスには、Docker や gVisor などのコンテナベースのテクノロジー、Firecracker などの microVM ベースのソリューション、Intel SGX や AMD SEV などの信頼できる実行環境 (TEE) に依存するセキュリティ中心のサンドボックスが含まれます。
ただし、共有の物理ハードウェアに複数のテナントを配置すると、セキュリティとプライバシーの懸念が生じ、最も顕著なのはサイドチャネル攻撃です。
このペーパーでは、Intel および AMD CPU の CPU 周波数報告センサーを介してコンテナーのフィンガープリンティングを行う可能性を調査します。
私たちの攻撃を可能にする主な要因の 1 つは、ユーザー空間の攻撃者が現在の CPU 周波数情報にアクセスできることです。
Docker イメージが独自の頻度シグネチャを示し、複数のコンテナーが異なるコアで同時に実行されている場合でも、最大 84.5% の精度で異なるコンテナーを区別できることを実証します。
さらに、Google の gVisor、AWS の Firecracker、Gramine (Intel SGX を利用) や AMD SEV などの TEE ベースのプラットフォームを含む、クラウド環境に展開されたいくつかのサンドボックスに対して実行された場合の攻撃の有効性を評価します。
私たちの経験的結果は、これらの攻撃はすべてのサンドボックスに対して 40 秒以内に成功し、すべてのケースで 70% 以上の精度で実行できることを示しています。
最後に、クラウド環境に対する提案された攻撃を軽減するためのノイズ注入ベースの対策を提案します。

要約(オリジナル)

The cloud computing landscape has evolved significantly in recent years, embracing various sandboxes to meet the diverse demands of modern cloud applications. These sandboxes encompass container-based technologies like Docker and gVisor, microVM-based solutions like Firecracker, and security-centric sandboxes relying on Trusted Execution Environments (TEEs) such as Intel SGX and AMD SEV. However, the practice of placing multiple tenants on shared physical hardware raises security and privacy concerns, most notably side-channel attacks. In this paper, we investigate the possibility of fingerprinting containers through CPU frequency reporting sensors in Intel and AMD CPUs. One key enabler of our attack is that the current CPU frequency information can be accessed by user-space attackers. We demonstrate that Docker images exhibit a unique frequency signature, enabling the distinction of different containers with up to 84.5% accuracy even when multiple containers are running simultaneously in different cores. Additionally, we assess the effectiveness of our attack when performed against several sandboxes deployed in cloud environments, including Google’s gVisor, AWS’ Firecracker, and TEE-based platforms like Gramine (utilizing Intel SGX) and AMD SEV. Our empirical results show that these attacks can also be carried out successfully against all of these sandboxes in less than 40 seconds, with an accuracy of over 70% in all cases. Finally, we propose a noise injection-based countermeasure to mitigate the proposed attack on cloud environments.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google