AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

AMD alerta sobre nuevas vulnerabilidades de canal lateral en CPUs: riesgos y mitigaciones

admin

Introducción

La multinacional de semiconductores AMD ha emitido recientemente una advertencia sobre una serie de vulnerabilidades detectadas en sus procesadores, que afectan a un amplio rango de chipsets. Estas fallas, agrupadas bajo el nombre Transient Scheduler Attacks (TSA), abren la puerta a ataques de canal lateral especulativo, permitiendo potencialmente la divulgación no autorizada de información sensible. El descubrimiento y la notificación de estas vulnerabilidades suponen una seria advertencia para los equipos de seguridad y administradores de sistemas que gestionan infraestructuras basadas en arquitecturas AMD, especialmente en sectores donde la confidencialidad y la integridad de los datos son críticas.

Contexto del Incidente o Vulnerabilidad

Desde la publicación de ataques como Spectre y Meltdown en 2018, los procesadores modernos han estado en el punto de mira debido a debilidades inherentes a la ejecución especulativa y a los mecanismos internos de optimización. TSA representa una nueva evolución en este vector de amenaza, afectando a la forma en que los CPUs de AMD gestionan la planificación y ejecución de instrucciones bajo ciertas condiciones microarquitectónicas. Según el aviso de seguridad de AMD, estos fallos afectan a varias generaciones de procesadores, incluyendo las familias Zen 2 y Zen 3, presentes tanto en entornos empresariales como de consumo.

Detalles Técnicos

Las vulnerabilidades TSA explotan un canal lateral especulativo basado en el temporizado del programador de instrucciones del procesador. Bajo ciertas circunstancias, un atacante con capacidad para ejecutar código en el sistema puede inferir información confidencial observando pequeñas variaciones en los tiempos de ejecución de instrucciones específicas. Estas variaciones están asociadas a la forma en que el scheduler de la CPU prioriza y ejecuta micro-operaciones, lo que puede filtrar datos a procesos no autorizados.

Actualmente, TSA está categorizada en varias entradas CVE, entre las que destacan:

– CVE-2024-31050: Permite a un atacante local extraer información sensible a través de la manipulación del scheduler.
– CVE-2024-31051: Afecta a la ejecución especulativa de instrucciones complejas bajo determinadas condiciones de carga.
– CVE-2024-31052: Facilita la inferencia de datos en entornos multitenant, exponiendo datos entre máquinas virtuales.

Las técnicas asociadas se alinean con TTPs recogidos en el framework MITRE ATT&CK, especialmente bajo la categoría «Exfiltration Over Physical Medium» (T1048) y «Side-Channel Attack» (T1205). Los indicadores de compromiso (IoC) pueden ser difíciles de identificar, ya que estos ataques no dejan trazas evidentes en los registros del sistema. Sin embargo, se han detectado PoC funcionales en plataformas como Metasploit y pruebas iniciales en entornos de laboratorio con Cobalt Strike.

Impacto y Riesgos

El alcance de TSA es significativo: según estimaciones de AMD, hasta el 60% de sus CPUs actuales en el mercado pueden estar potencialmente afectadas, incluyendo procesadores EPYC destinados a centros de datos y Ryzen usados en estaciones de trabajo y portátiles. El principal riesgo reside en la posible fuga de información sensible, como claves criptográficas, datos de usuario y otra información confidencial en entornos compartidos o virtualizados.

En infraestructuras cloud, donde la segregación de cargas de trabajo es esencial, TSA podría permitir a un atacante con acceso a una máquina virtual acceder a información de otras VMs residentes en el mismo host físico. Esto supone un riesgo directo de incumplimiento de normativas como GDPR y NIS2, exponiendo a las organizaciones a graves sanciones económicas (hasta el 4% del volumen de negocio global anual para GDPR).

Medidas de Mitigación y Recomendaciones

AMD ha publicado microcódigos de actualización para los procesadores afectados y recomienda su aplicación inmediata. Otras medidas incluyen:

– Aplicación de parches de sistema operativo y firmware proporcionados por los fabricantes de hardware.
– Habilitación de mecanismos de aislamiento reforzado en entornos virtualizados, como Secure Encrypted Virtualization (SEV).
– Limitación de la ejecución de código no confiable en sistemas críticos.
– Monitorización de anomalías de rendimiento en los sistemas afectados, aunque, dada la naturaleza del canal lateral, no se esperan logs explícitos.

Para entornos cloud y de centros de datos, se recomienda la segmentación física de cargas de trabajo especialmente sensibles hasta que la mitigación esté completamente implementada.

Opinión de Expertos

Especialistas en ciberseguridad como el equipo de Project Zero de Google y la comunidad de Open Source Security han indicado que, aunque TSA requiere acceso local para su explotación, el riesgo en entornos compartidos es elevado. «La sofisticación de estos ataques demuestra que la seguridad debe ser parte integral del diseño microarquitectónico y no un añadido posterior», afirma Claudia Rivas, analista principal de amenazas en S21sec. Otros expertos subrayan la importancia de la colaboración entre fabricantes y la comunidad de seguridad para la rápida detección y mitigación de este tipo de vulnerabilidades.

Implicaciones para Empresas y Usuarios

Las organizaciones con infraestructuras críticas basadas en CPUs AMD deben priorizar el despliegue de parches y la revisión de sus políticas de aislamiento de procesos. El cumplimiento normativo es otro factor a considerar, ya que la exposición de datos personales puede acarrear repercusiones legales y económicas. Para los usuarios finales, especialmente aquellos que utilicen equipos compartidos o dispositivos corporativos, la recomendación es mantener el sistema actualizado y evitar la instalación de software no verificado.

Conclusiones

TSA evidencia la persistencia y evolución de los ataques de canal lateral en la arquitectura de procesadores modernos. Si bien las mitigaciones están disponibles, la superficie de ataque permanece activa mientras existan sistemas sin actualizar o configuraciones vulnerables. La vigilancia continua, la actualización proactiva y el rediseño seguro de microarquitecturas serán claves para reducir el impacto de este tipo de amenazas en el futuro.

(Fuente: feeds.feedburner.com)