AMD publicó correcciones para la vulnerabilidad RMPocalypse (CVE-2025-0033), una condición de carrera que puede erosionar las garantías de confidencialidad e integridad de Secure Encrypted Virtualization with Secure Nested Paging (SEV‑SNP). El fallo, descubierto por investigadores de ETH Zurich, permite una escritura única y dirigida en la Reverse Map Table (RMP), una estructura central que mantiene metadatos de seguridad de todas las páginas de DRAM. Microsoft y Supermicro confirmaron impacto en sus ecosistemas y están desplegando actualizaciones.
Qué es RMPocalypse y cómo impacta a AMD SEV‑SNP
SEV‑SNP es la tecnología de confidential computing de AMD que cifra y aísla la memoria de máquinas virtuales (VM) para que ni siquiera un hipervisor privilegiado pueda manipular su estado. Este modelo depende de que el mapeo y los atributos de las páginas estén protegidos por hardware y firmware de forma inalterable durante todo el ciclo de vida de la VM.
Reverse Map Table (RMP): pieza crítica del aislamiento
La RMP es una tabla única en el sistema, ubicada en DRAM, que asocia direcciones físicas del sistema (sPA) con direcciones físicas del huésped (gPA) y conserva atributos de seguridad por página (propiedad, permisos, estado SNP). Se inicializa por el Platform Security Processor (PSP), se gestiona mediante flujos controlados por hardware y se expone a través de MSR x86. La integridad de la RMP es un pilar del modelo de confianza de SEV‑SNP.
Origen técnico de la vulnerabilidad: carrera en la inicialización
Según el boletín de seguridad de AMD, CVE-2025-0033 es un race condition durante la inicialización de la RMP por el PSP. En ese intervalo temprano, la tabla puede quedar insuficientemente protegida, abriendo la puerta a que un atacante con control del host o un hipervisor malicioso realice una escritura única en una entrada de la RMP. Esa modificación puntual basta para bypassear comprobaciones de SEV‑SNP al arranque de la VM y alterar la integridad de la memoria invitada.
Escenarios plausibles de explotación
Una escritura manipulada en RMP puede habilitar modos de depuración no autorizados, falsear evidencias de atestación, ejecutar replay de páginas previamente válidas o facilitar la inyección de código en una VM supuestamente aislada. AMD asignó una puntuación CVSS 5.9 (impacto medio): la explotación no es remota y exige altos privilegios en el host, pero el efecto sobre confidentiality e integrity de cargas SEV‑SNP es significativo.
Estado de parches y plataformas afectadas
AMD liberó actualizaciones de microcódigo y componentes de plataforma (incluidos paquetes PSP/AGESA) para cerrar la ventana de carrera y reforzar la protección de la RMP. Microsoft indicó que ciertos clústeres de Azure Confidential Computing basados en AMD están afectados y en proceso de actualización, mientras que Supermicro comunicó la necesidad de actualizar BIOS/UEFI en modelos concretos. AMD publicó el inventario de CPUs y plataformas impactadas; los administradores deben verificar los avisos del fabricante de su hardware y del proveedor de cloud.
Recomendaciones de mitigación y buenas prácticas
– Aplique de inmediato las actualizaciones de BIOS/UEFI del OEM que incluyan los paquetes PSP/AGESA y el microcódigo más reciente.
– Actualice el hipervisor y el plano de gestión de VM para eliminar vectores de manipulación en fases tempranas de inicialización.
– Refuerce la atestación en entornos de confidential computing: valide políticas de arranque medido, audite resultados y monitorice anomalías.
– Minimice la confianza en el host: segmente cargas críticas, aplique least privilege y separación de funciones en la administración.
– Estructure un proceso riguroso de gestión de vulnerabilidades: inventario continuo, priorización de CVE, ventanas de parcheo regulares y verificación automatizada de cumplimiento.
RMPocalypse evidencia que la solidez del confidential computing no depende solo del cifrado de memoria, sino también de la protección impecable de estructuras auxiliares como la RMP. Actuar con rapidez —parchear firmware y microcódigo, fortalecer la atestación y revisar el modelo de amenazas— reduce el riesgo de compromiso de VMs sensibles. Priorice las actualizaciones de AMD y de su OEM, y consolide sus controles operativos para sostener la integridad y confidencialidad de sus datos críticos.
