AMD випустила виправлення для уразливості RMPocalypse (CVE-2025-0033), яка зачіпає апаратну технологію Secure Encrypted Virtualization with Secure Nested Paging (SEV‑SNP). Дослідники ETH Zurich продемонстрували, що можна досягти цільового одиночного запису у Reverse Map Table (RMP) під час ранньої ініціалізації, що потенційно знижує гарантії конфіденційності та цілісності пам’яті гостя.
Уразливість RMPocalypse (CVE-2025-0033): вплив на SEV‑SNP
SEV‑SNP — ключова складова confidential computing в екосистемі AMD, яка шифрує та ізолює пам’ять віртуальних машин (ВМ) навіть від привілейованого гіпервізора. Безпечність цієї моделі спирається на коректність відображення фізичних сторінок пам’яті та незмінність їх атрибутів на апаратному рівні.
Reverse Map Table (RMP): чому це критично
RMP — єдина системна таблиця в DRAM, що зіставляє системні фізичні адреси (sPA) з гостьовими фізичними адресами (gPA) і зберігає критичні атрибути безпеки сторінок. Вона ініціалізується Platform Security Processor (PSP/ASP), керується гіпервізором через апаратні механізми та MSR‑регістри, і є фундаментом довірчої моделі SEV‑SNP. Будь-яка несанкціонована зміна RMP підриває цілісність середовища ВМ.
Стан гонки під час ініціалізації RMP: як працює атака
AMD описує проблему як race condition у момент початкової ініціалізації RMP безпековим співпроцесором. У цей короткий проміжок таблиця може бути недостатньо захищеною, що відкриває можливість для одиничного запису в критичний запис RMP. Це не «ламає» шифрування, але дозволяє обійти перевірки SEV‑SNP і вплинути на відповідність відображень пам’яті очікуваному стану.
Можливі вектори атак і практичні наслідки
Маніпуляція RMP на старті потенційно веде до: активації прихованих режимів (наприклад, відладки), фальсифікації атестації, replay‑атак або обмеженого впровадження коду. У хмарних сценаріях це може призвести до витоку секретів із конфіденційних ВМ або підриву гарантій ізоляції навіть за увімкненого SEV‑SNP.
Оцінка ризиків, патчі AMD і стан екосистеми
Уразливості присвоєно CVSS 5.9. За офіційним описом AMD, зловмисний або скомпрометований гіпервізор здатен змінити RMP під час ініціалізації, порушивши цілісність пам’яті гостя. Виробник випустив оновлення мікрокоду та платформних компонентів (PSP/AGESA), що зменшують часовий інтервал гонки та посилюють захист RMP.
Партнери екосистеми підтвердили дотичність: Microsoft повідомляє про вплив на кластери Azure Confidential Computing на базі AMD і розгортає виправлення; Supermicro вимагає оновлення BIOS для відповідних плат. AMD опублікувала перелік заторкнутих процесорів; адміністраторам слід звіритися з документацією для конкретної платформи.
Рекомендації з мінімізації ризиків для дата-центрів і хмар
– Негайно встановіть оновлення BIOS/UEFI від OEM із актуальними пакетами PSP/AGESA та мікрокодом CPU.
– Оновіть гіпервізор і стек керування ВМ, застосувавши патчі, що усувають можливість втручання на ранніх етапах ініціалізації.
– Посильте атестацію confidential computing: перевірка політик виміряного завантаження, аудит результатів, моніторинг аномалій атестаційних звітів.
– Мінімізуйте довіру до хост‑гіпервізора: сегментація критичних навантажень, принцип найменших привілеїв, розділення ролей адміністраторів.
– Запровадьте суворе керування уразливостями: інвентаризація активів, пріоритизація CVE, регулярні вікна оновлень, автоматизована перевірка відповідності політикам.
RMPocalypse демонструє, що стійкість confidential computing визначається не лише шифруванням пам’яті, а й бездоганним захистом допоміжних структур на кшталт RMP. Організаціям варто оперативно впровадити патчі від AMD та виробників обладнання, переглянути модель загроз для робочих навантажень із SEV‑SNP і посилити процеси атестації. Дійте проактивно: чим швидше закрито «вікно гонки» на етапі ініціалізації, тим надійнішою буде ізоляція ваших віртуальних машин і критичних даних.
