AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Battering RAM: Nueva vulnerabilidad permite eludir defensas en CPUs cloud de Intel y AMD**

admin

### 1. Introducción

Un grupo de investigadores de la KU Leuven y la Universidad de Birmingham ha revelado una vulnerabilidad crítica denominada “Battering RAM” que afecta a procesadores cloud de Intel y AMD, capaces de socavar las más recientes defensas de integridad de memoria implementadas en entornos de nube. El hallazgo, presentado por los académicos Jesse De Meulemeester, David Oswald e Ingrid Verbauwhede, pone en jaque la confianza en las tecnologías de aislamiento y cifrado de memoria que sustentan la seguridad en la computación en la nube.

### 2. Contexto del Incidente o Vulnerabilidad

En los últimos años, fabricantes como Intel (con SGX, TDX) y AMD (con SEV, SEV-ES, SEV-SNP) han desarrollado mecanismos de seguridad hardware para proteger la confidencialidad e integridad de los datos procesados en la nube. Estas tecnologías, ampliamente adoptadas por proveedores como AWS, Google Cloud o Azure, están diseñadas para mitigar amenazas como ataques de hypervisor comprometido, acceso físico no autorizado o el dumping de memoria.

Sin embargo, el equipo investigador ha demostrado que, mediante un dispositivo intermedio de bajo coste —valorado en apenas 50 dólares— es posible manipular el tráfico de memoria de forma transparente, incluso superando los procedimientos de arranque seguro y las verificaciones de confianza. El ataque Battering RAM representa un cambio de paradigma en el modelo de amenazas de los entornos cloud multi-tenant.

### 3. Detalles Técnicos

El ataque Battering RAM explota el flujo de datos entre la CPU y la memoria RAM, interponiéndose físicamente en el bus de memoria DDR4/DDR5. El grupo académico desarrolló un interposer hardware que, instalado entre la CPU y los módulos DRAM, puede observar y modificar el contenido de la memoria en tiempo real sin ser detectado por las medidas de integridad existentes.

**CVE y vectores de ataque**: A la fecha de redacción de este artículo, la vulnerabilidad aún no ha recibido un identificador CVE, pero se espera su asignación en breve dada la gravedad y el impacto potencial. El vector de ataque requiere acceso físico al hardware —lo que, en entornos cloud, puede no ser tan improbable en escenarios de amenaza avanzados (APT) o por parte de insiders en proveedores de servicios—.

**TTP y MITRE ATT&CK**: El ataque se alinea con las tácticas de “Hardware Manipulation” (T1195) y “Data Staged” (T1074) del framework MITRE ATT&CK, especialmente en la subcategoría de manipulación de buses de memoria. El interposer se comporta de manera transparente durante la secuencia de arranque (bootstrapping), pasando todas las comprobaciones de arranque seguro (Secure Boot, attestation), lo que permite eludir mecanismos como AMD SEV-SNP o Intel TDX, que dependen de la confianza en la cadena física de hardware.

**Indicadores de Compromiso (IoC):** Actualmente, la detección se considera extremadamente compleja, ya que no implica tráfico de red ni alteraciones software, sino manipulación directa de señales eléctricas en el bus de memoria. No obstante, la monitorización de errores de integridad de memoria o timings anómalos en acceso a DRAM podría proporcionar pistas en escenarios forenses avanzados.

### 4. Impacto y Riesgos

El impacto de Battering RAM es potencialmente devastador para la seguridad del cloud computing. Al permitir la lectura y modificación arbitraria de datos en memoria, un atacante podría acceder a secretos criptográficos, credenciales, datos confidenciales de clientes y cargas de trabajo aisladas, vulnerando la confidencialidad y la integridad de aplicaciones y máquinas virtuales.

Según estimaciones preliminares, más del 90% de los procesadores de centros de datos cloud desplegados a partir de 2019 podrían ser vulnerables, dado que la arquitectura de bus de memoria afectada está presente en la mayoría de servidores x86 actuales. El riesgo se agrava en sectores regulados por GDPR, NIS2 y otras normativas europeas, donde la exposición de datos personales puede acarrear multas de hasta el 4% de la facturación global anual.

### 5. Medidas de Mitigación y Recomendaciones

Actualmente, no existe parche software capaz de mitigar el ataque, dada su naturaleza hardware. Los fabricantes están trabajando en actualizaciones de microcódigo y futuras revisiones de arquitectura que incluyan cifrado end-to-end de las líneas de datos entre CPU y DRAM.

Mientras tanto, se recomienda a los responsables de seguridad:

– Asegurar el control físico de los servidores cloud, especialmente en entornos de co-ubicación.
– Monitorizar logs de integridad de memoria, errores ECC y timings anómalos.
– Emplear módulos de memoria con capacidades de autenticación y cifrado hardware.
– Revisar contratos de nivel de servicio (SLA) con proveedores cloud e incorporar cláusulas específicas de seguridad física y cadena de suministro.

### 6. Opinión de Expertos

Varios expertos del sector, como Bruce Schneier y Alex Matrosov (Binarly), han destacado la relevancia de Battering RAM como “wake-up call” para la industria: “La seguridad no termina en la CPU o el hypervisor; la cadena de confianza debe extenderse al hardware de bajo nivel y a la propia infraestructura física”, señalan. Además, advierten que las técnicas de manipulación de bus podrían ser adoptadas por grupos APT con recursos para comprometer centros de datos a gran escala.

### 7. Implicaciones para Empresas y Usuarios

Las empresas que dependen de entornos cloud para cargas de trabajo sensibles (finanzas, sanidad, sector público) deben reevaluar sus modelos de amenaza y exigir garantías adicionales a sus proveedores. Para los usuarios finales, la noticia refuerza la importancia de la criptografía end-to-end y la minimización de datos sensibles en memoria.

La tendencia de mercado hacia el “confidential computing” deberá adaptarse, incorporando protecciones físicas y arquitecturas de memoria más robustas. A corto plazo, es previsible un aumento del escrutinio regulador y de auditorías de seguridad física en centros de datos.

### 8. Conclusiones

El descubrimiento de Battering RAM subraya las limitaciones de las defensas actuales en hardware cloud y la necesidad de un enfoque holístico que abarque tanto software como hardware y seguridad física. La industria deberá acelerar la adopción de nuevas arquitecturas y reforzar la cadena de suministro para mantener la confianza en la computación en la nube.

(Fuente: feeds.feedburner.com)