BOOM, Rocket Core 및 CVA6 프로세서의 타이밍 취약점 탐지 및 위치 파악을 위한 WhisperFuzz: 화이트 박스 퍼징 기법

WhisperFuzz는 프로세서 설계의 마이크로아키텍처 상태 전이를 활용하여 타이밍 취약점을 탐지하고 위치를 파악하는 최초의 화이트 박스 퍼징 기법이다.

WhisperFuzz는 프로세서 설계의 마이크로아키텍처 상태 전이를 모델링하는 Micro-Event Graph를 사용하여 타이밍 취약점을 탐지하고 위치를 파악한다. Micro-Event Graph를 자동으로 추출하여 프로세서 모듈의 타이밍 동작을 세부적으로 표현한다. 계층적 분석 전략을 통해 모듈별 타이밍 동작을 효율적으로 분석하여 취약점을 신속하게 탐지한다. Micro-Event Graph의 속성을 활용하여 탐지된 취약점의 근본 원인을 자동으로 파악한다. 커버리지 피드백 퍼징을 통해 프로세서의 타이밍 동작을 효과적으로 탐색한다. WhisperFuzz는 BOOM, Rocket Core, CVA6 등 3개의 고급 RISC-V 프로세서에서 12개의 새로운 타이밍 취약점을 탐지했으며, 이 중 8개는 RISC-V Zkt 확장의 심각한 보안 취약점으로 간주된다. 또한 기존 취약점의 위치도 정확하게 파악했다.

DIVUW 명령어 실행 시 CVA6 프로세서에서 최대 56 사이클의 타이밍 차이가 발생한다. REMW 명령어 실행 시 CVA6 프로세서에서 최대 56 사이클의 타이밍 차이가 발생한다. DIVUW + REM 명령어 연속 실행 시 BOOM 프로세서에서 최대 101 사이클의 타이밍 차이가 발생한다. C.ADD[W], C.SUB[W], C.AND, C.OR, C.XOR, [C.]MV 압축 명령어 실행 시 CVA6 프로세서에서 최대 12 사이클의 타이밍 차이가 발생한다.

"WhisperFuzz는 프로세서 설계의 마이크로아키텍처 상태 전이를 활용하여 타이밍 취약점을 탐지하고 위치를 파악하는 최초의 화이트 박스 퍼징 기법이다." "WhisperFuzz는 BOOM, Rocket Core, CVA6 등 3개의 고급 RISC-V 프로세서에서 12개의 새로운 타이밍 취약점을 탐지했으며, 이 중 8개는 RISC-V Zkt 확장의 심각한 보안 취약점으로 간주된다."