🚨 เตือน เทคนิคโจมตีรูปแบบใหม่ GPUBreach อาศัยช่องโหว่ในหน่วยความจำของ GPU เพื่อยกระดับสิทธิ์ นำไปสู่การยึดครองระบบและการรั่วไหลของข้อมูล

NCSA_THAICERT

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนหน่วยงานภาครัฐ เอกชน และผู้ให้บริการโครงสร้างพื้นฐานดิจิทัล (Data Center/Cloud) ถึงเทคนิคการโจมตีในชื่อ "GPUBreach" ซึ่งเป็นการโจมตีประเภท Hardware-based Attack ที่มุ่งเป้าไปยังหน่วยความจำ GDDR6 บนการ์ดจอประสิทธิภาพสูง การโจมตีนี้ช่วยให้ผู้บุกรุกสามารถยกระดับสิทธิ์จากผู้ใช้งานทั่วไปขึ้นเป็นระดับสูงสุด (Root/Kernel) ของระบบปฏิบัติการได้โดยตรง [1]

GPUBreach คือความสามารถในการข้ามผ่านกลไกความปลอดภัยระดับฮาร์ดแวร์เดิม เช่น IOMMU โดยใช้วิธีรบกวนสัญญาณไฟฟ้าในหน่วยความจำ (Rowhammer) เพื่อเปลี่ยนแปลงค่าในตารางจัดสรรหน่วยความจำ (Page Tables) ทำให้การ์ดจอกลายเป็นช่องทางหลักในการเข้าควบคุม CPU และระบบทั้งหมด [2]

รายละเอียดและผลกระทบ[3]
การโจมตีของ GPU Rowhammer ผู้โจมตีสามารถรันคำสั่งผ่าน CUDA หรือ WebGPU เพื่อทำการเขียนข้อมูลซ้ำๆ ในหน่วยความจำวิดีโอ (VRAM) ความเร็วสูง จนเกิด Bit-flipping ในหน่วยความจำ GDDR6/6X นำไปสู่การแก้ไขข้อมูลสำคัญที่ใช้ควบคุมการเข้าถึงทรัพยากรของเครื่อง เมื่อสามารถควบคุมตารางหน่วยความจำของ GPU ได้ ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ของหน่วยความจำ (Memory-safety bugs) ในไดรเวอร์ของ NVIDIA เพื่อเจาะเข้าสู่หน่วยความจำหลักของ CPU และสั่งรันคำสั่งในระดับ Kernel

ทั้งนี้ ผู้โจมตีสามารถดึงข้อมูล Private Key จากไลบรารีการเข้ารหัส (เช่น cuPQC) ที่ประมวลผลบน GPU และขโมยค่าน้ำหนัก (Weights) ของโมเดลภาษาขนาดใหญ่ (LLM) หรือแอบแก้ไขชุดคำสั่งเพื่อลดความแม่นยำของ AI จาก 80% เหลือ 0% โดยที่ผู้ใช้งานไม่ทราบ ทั้งยังส่งผลต่อระบบ Cloud ที่มีการแบ่งทรัพยากร GPU ร่วมกัน ผู้โจมตีสามารถข้ามเขตแดนเพื่อเข้าไปอ่านหรือแก้ไขข้อมูลของลูกค้ารายอื่นได้

อุปกรณ์และระบบที่อยู่ในกลุ่มเสี่ยง[4]
2.1 อุปกรณ์ประมวลผลกราฟิก (GPU)

คอมพิวเตอร์ที่ใช้การ์ดจอ NVIDIA ตระกูล RTX 30 Series และ RTX 40 Series (สถาปัตยกรรม Ampere และ Ada Lovelace) และ เซิร์ฟเวอร์ที่ใช้งานการ์ดจอประสิทธิภาพสูง เช่น ตระกูล A100 และ H100
2.2 ประเภทหน่วยความจำวิดีโอ (VRAM)
อุปกรณ์ทุกชนิดที่ใช้หน่วยความจำความเร็วสูงประเภท GDDR6 และ GDDR6X ซึ่งเป็นมาตรฐานหลักในอุปกรณ์กราฟิกรุ่นปัจจุบัน
2.3 ซอฟต์แวร์และระบบปฏิบัติการ
ไดรเวอร์ ระบบที่ติดตั้ง NVIDIA GPU Display Driver ทั้งบนระบบปฏิบัติการ Windows และ Linux
แอปพลิเคชัน เว็บเบราว์เซอร์ที่มีการเปิดใช้งานฟังก์ชัน WebGPU (เทคโนโลยีที่ช่วยให้เบราว์เซอร์เข้าถึงพลังประมวลผลของการ์ดจอได้โดยตรง) ซึ่งอาจถูกใช้เป็นช่องทางในการโจมตีผ่านหน้าเว็บไซต์ได้

3.มาตรการป้องกันและแนวทางปฏิบัติ[5]
3.1 ผู้ดูแลระบบต้องดำเนินการอัปเดต NVIDIA Display Driver ให้เป็นเวอร์ชันล่าสุด (ปี 2026) ทันที ซึ่งมีการเพิ่มมาตรการ Software Mitigations เพื่อตรวจสอบพฤติกรรมการเข้าถึงหน่วยความจำที่ผิดปกติ
3.2 ตรวจสอบและติดตั้ง BIOS/Firmware Update จากผู้ผลิตเซิร์ฟเวอร์หรือเวิร์กสเตชัน เพื่อเปิดใช้งานกลไกป้องกัน Rowhammer ในระดับเมนบอร์ด
3.3 การจำกัดสิทธิ์ในระดับแอปพลิเคชัน โดยปิดการใช้งาน WebGPU ในเว็บเบราว์เซอร์ระดับองค์กร หากไม่มีความจำเป็นต้องใช้งาน เพื่อตัดช่องทางการโจมตีผ่านอินเทอร์เน็ต

มาตรการป้องกันและลดความเสี่ยง[6]
4.1 การเฝ้าระวังพฤติกรรมการรันคำสั่ง GPU ที่มีการใช้งานหน่วยความจำผิดปกติ (High-frequency memory access patterns) ผ่านระบบตรวจจับความผิดปกติใน Data Center
4.2 สำหรับผู้ให้บริการ Cloud ควรพิจารณาการใช้การประมวลผลแบบ Confidential Computing เพื่อปกป้องข้อมูลในหน่วยความจำแม้ในระดับฮาร์ดแวร์จะถูกโจมตี

แหล่งอ้างอิง
[1] https://dg.th/24zibp8m3n
[2] https://dg.th/52n1erchad
[3] https://dg.th/1kv4w53psa
[4] https://dg.th/he1y65gntr
[5] https://dg.th/rblmgxsd82
[6] https://dg.th/fjyz0e6nql

GPUBreach v2.png

ThaiCERT เน้นย้ำให้ผู้ใช้งานการ์ดจอ NVIDIA ทุกท่านตรวจสอบเวอร์ชันไดรเวอร์และดำเนินการอัปเดตโดยเร็วที่สุดเพื่อความปลอดภัยของข้อมูล

ด้วยความปรารถนาดี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT

#ThaiCERT #GPUBreach #NVIDIA #CyberAttack #HardwareVulnerability #DataSecurity #CloudSecurity #AI_Security #แจ้งเตือนภัยไซเบอร์