La nube ya no garantiza la confidencialidad: vulneran la principal tecnología de seguridad de los chips de AMD
Un error en el enrutamiento desactivó la seguridad de los chips.
Los servidores en la nube que prometen protección total de los datos no resultaron ser tan inexpugnables. Los especialistas encontraron una forma de eludir una de las tecnologías clave de protección en los procesadores AMD —sin acceso físico al equipo. El ataque llamado FABRICKED apunta a la tecnología de máquinas virtuales protegidas AMD SEV-SNP, que los proveedores en la nube usan para aislar los datos de los clientes. El problema radica en cómo se transmiten los datos entre los componentes dentro del procesador.
En los chips modernos de AMD se utiliza el bus interno Infinity Fabric. Este conecta los núcleos, la memoria y los dispositivos de entrada y salida. Cuando el sistema arranca, el firmware configura las reglas de enrutamiento: qué datos enviar y a dónde. Se suponía que, incluso con un firmware no confiable, la protección SEV-SNP se mantendría fiable.
Sin embargo, FABRICKED demuestra lo contrario. Un atacante con acceso al hipervisor o al firmware puede modificar las reglas de enrutamiento y redirigir operaciones importantes. Como resultado, el coprocesador de seguridad recibe una imagen falsa del sistema y lo inicializa de forma incorrecta. El ataque permite leer y escribir datos arbitrarios en la memoria de la máquina virtual protegida. Además, el atacante puede falsificar los informes de verificación de integridad que deberían confirmar que el sistema funciona en modo seguro.
El problema clave está relacionado con la tabla RMP, que se encarga del control de acceso a la memoria. Cuando el sistema arranca, el coprocesador debe rellenar esta tabla con datos correctos. Pero si se redirigen las entradas, la tabla queda en un estado inseguro. Entonces el hipervisor obtiene acceso a la memoria de la máquina virtual, aunque no debería tenerlo.
Los investigadores descubrieron un escenario aún más preocupante. Un atacante puede activar el llamado modo de depuración incluso después de que el sistema haya pasado la verificación. Normalmente ese modo está prohibido, porque permite leer y modificar la memoria de la máquina virtual. Pero manipulando la tabla de protección, la restricción se puede eludir.
Además, el ataque permite falsificar los resultados de la verificación. La máquina virtual puede recibir un informe "correcto", incluso si se ha iniciado un entorno alterado o malicioso. De hecho, el usuario cree que opera en un entorno seguro, aunque el control ya esté en manos del atacante. El problema surge por dos factores. Primero, el sistema no verifica que las configuraciones de enrutamiento estén bloqueadas definitivamente. Segundo, algunas solicitudes de memoria se procesan de forma distinta a la prevista y pueden seguir reglas "incorrectas".
La vulnerabilidad ya fue comunicada al desarrollador. AMD confirmó el problema y planea solucionarlo bajo el identificador CVE-2025-54510.
El ataque requiere un nivel serio de acceso —por ejemplo, control del hipervisor o del firmware. No obstante, para los servicios en la nube ese escenario es bastante realista. Por tanto, incluso los mecanismos modernos de computación confidencial todavía no pueden considerarse completamente protegidos.