RMPocalypse: Un error crítico en AMD SEV-SNP amenaza la seguridad de la nube.

Redazione RHC : 13 octubre 2025 19:09

Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google Cloud) . Esta falla permite a hipervisores maliciosos comprometer máquinas virtuales cifradas y obtener acceso completo a su memoria.

El ataque, denominado RMPocalypse , socava las garantías fundamentales de confidencialidad e integridad en las que se basa el modelo de ejecución confiable SEV-SNP.

La investigación, presentada en la conferencia ACM CCS 2025 en Taipéi, detalla cómo se explota una vulnerabilidad durante la inicialización de la estructura de claves de SEV-SNP, la Tabla de Mapa Inverso (RMP) . Esta tabla asigna direcciones físicas del host a páginas virtuales de invitado y es responsable de prevenir ataques de suplantación de página conocidos en generaciones anteriores de SEV y SEV-ES. Sin embargo, la RMP en sí misma aún no existe en el arranque y, por lo tanto, no puede protegerse de escrituras de kernels x86 que se ejecutan simultáneamente con el proceso de inicialización.

La vulnerabilidad se ha identificado como CVE-2025-0033 (puntuación CVSS: 8,2) y afecta a los procesadores AMD basados en las arquitecturas Zen 3, Zen 4 y Zen 5 , incluyendo los chips de servidor EPYC utilizados activamente en la infraestructura de la nube. El problema es un círculo vicioso: se supone que el RMP se protege a sí mismo de las modificaciones, pero durante la fase de configuración inicial, esta protección aún no está activa . La gestión de esta fase se delega al Procesador de Seguridad de Plataforma (PSP), un coprocesador basado en la arquitectura ARM. Crea barreras en forma de Regiones de Memoria Confiables (TMR) en el controlador de memoria y también impide que los núcleos x86 escriban en la memoria. Sin embargo, como han demostrado los investigadores Benedikt Schlüter y Shweta Shinde de ETH Zurich , estas medidas son insuficientes.

El funcionamiento asíncrono de los núcleos x86 les permite escribir líneas de caché sucias en la memoria RMP antes de que la PSP active la protección completa . Cuando se borran las TMR tras la inicialización, estas escrituras no borradas se vacían en la DRAM, sobrescribiendo la tabla RMP con valores arbitrarios.

Experimentos realizados en los EPYC 9135 (Zen 5), 9124 (Zen 4) y 7313 (Zen 3) confirmaron que las sobrescrituras ocurren sin errores, especialmente en Zen 3, donde los problemas de consistencia agravan la situación. Si bien el firmware de la PSP contiene indicios de mecanismos de protección como el vaciado de caché, la falta de un vaciado global de la TLB y la naturaleza cerrada de algunos componentes impiden una protección completa.

El ataque RMPocalypse permite a los atacantes colocar páginas protegidas en un estado en el que el hipervisor puede modificarlas libremente. Esto permite cuatro tipos de ataques:

• Falsificación de informes de atestación . Un atacante puede reemplazar páginas de contexto con copias cifradas antiguas, engañando así al sistema invitado para que confíe falsamente en la máquina virtual maliciosa. Las páginas de contexto no están protegidas contra sobrescritura porque carecen de una firma de integridad criptográfica.
• Habilitación del modo de depuración. Al modificar silenciosamente un bit de la política de contexto, el ataque habilita la API SNPDEBUGDECRYPT/ENCRYPT, lo que otorga al hipervisor acceso completo a la memoria sensible de la máquina virtual. Esto se logra sin violar la atestación y con una fiabilidad superior al 99,9 % en menos de 15 ms.
• Reproducción de estado de VMSA. Este vector permite revertir los registros de máquinas virtuales a una instantánea anterior, lo que compromete la integridad de la ejecución y facilita la reversión a estados vulnerables.
• Inyección de código arbitrario. El atacante usa SNPPAGEMOVE para falsificar valores de ajuste e inyectar tráfico malicioso (por ejemplo, paquetes de red) directamente en el código del kernel, evadiendo la protección criptográfica y ASLR. El proceso completo dura aproximadamente 5 ms.

Por lo tanto, SEV-SNP pierde completamente sus propiedades protectoras en condiciones de hipervisor no confiables. Esto es crucial para tareas que procesan datos confidenciales, desde aplicaciones empresariales hasta modelos de IA y almacenamiento en la nube.

AMD confirmó la vulnerabilidad y anunció que está trabajando en parches, pero al momento de la publicación, no hay correcciones disponibles para los procesadores afectados. Como solución temporal, los investigadores proponen reconfigurar las barreras a nivel de núcleo, incluyendo la prevalidación de cachés antes de eliminar la TMR o forzando una caché global y vaciando la TLB después de completar la configuración de RMP. En el caso de Zen 3, esto se complica por la necesidad de sincronización adicional debido a problemas de consistencia.

RMPocalypse se suma a los ataques CacheWarp y Heckler para demostrar la vulnerabilidad incluso de las tecnologías informáticas confidenciales más avanzadas. Si bien AMD ha abierto parcialmente el código del firmware de la PSP, los componentes propietarios aún dificultan su análisis y mitigación exhaustivos. Dado que la vulnerabilidad puede explotarse en menos de 234 milisegundos durante la fase SNPINITEX, es necesario reevaluar la confianza en los mecanismos de seguridad del hardware.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli