AMD está afectada por 4 graves vulnerabilidades en todas sus CPU Ryzen, sean de PC o servidor
Si somos personas preocupadas por la seguridad de nuestro ordenador, probablemente pasamos pruebas de antivirus de vez en cuando, nos fijamos que archivos descargamos y somos muy precavidos. Aunque todo esto nos permite evitar el malware en gran medida, nuestra seguridad puede desaparecer de otras formas. Los exploits y brechas de seguridad son provocados por vulnerabilidades y en el caso de las CPU Ryzen, AMD hay varias que los afectan.
Según hemos podido ver con el paso de los años, no hay ningún procesador de Intel o AMD que se haya podido librar de las denominadas vulnerabilidades. Podríamos echar la vista atrás unos años e irnos a la época de Spectre, el cual causón el caos entre los usuarios y empresas. Las mitigaciones se crean para evitar las vulnerabilidades, pero siempre hay un impacto en el rendimiento. Además de Spectre, tuvimos a Meltdown dándonos dolores de cabeza durante bastante tiempo y a día de hoy aunque estas vulnerabilidades sean algo del pasado, seguimos viendo versiones alternativas de las mismas.
Estas 4 vulnerabilidades de gravedad alta afectan a las CPU Ryzen, Threadripper y EPYC
Últimamente hemos visto reportes de muchas vulnerabilidades no solo en Intel sino también en AMD. En el caso de esta última, a principios de 2023 se reportaron un total de 31 nuevas vulnerabilidades que afectaban a casi todos los Ryzen. Aquí teníamos CPU Ryzen 2000 a 5000 de sobremesa, Ryzen 2000 a Ryzen 6000 de portátiles, Athlon, Threadripper Pro antiguos y AMD EPYC. Como ya vimos en su día, AMD no mantenía en secreto como iban las cosas en cuanto a brechas de seguridad y este año volvemos a ver lo mismo.
La propia AMD ha informado de cuatro vulnerabilidades de gravedad alta que afectan a sus CPU Ryzen de escritorio, portátil, Threadripper para HEDT y EPYC para servidores. La primera de todas ellas es la CVE-2023-20576, la cual se describe como una verificación insuficiente de la autenticidad de datos de AGESA, permitiendo así que un atacante pueda actualizar los datos de la ROM SPI conseguir denegar el servicio o escalar privilegios.
La mayoría de procesadores han recibido parches y actualizaciones de BIOS
La segunda vulnerabilidad, CVE-2023-20577, se provoca por un desbordamiento en el módulo SMM que permite a un atacante poder escribir en la memoria flash SPI y así ejecutar código arbitrario. En cuanto a la tercera vulnerabilidad, aquí tenemos la CVE-2023-20579, la cual se produce por un acceso inadecuado a la función de protección SPI de AMD. En este caso se puede realizar un ataque si el usuario dispone de acceso privilegiado al modo kernel (Ring0) superando el sistema de protección del sistema.
La cuarta y última vulnerabilidad es la CVE-2023-20587, la cual se provoca por un acceso inadecuado al SMM (modo de gestión del sistema), permitiendo que un atacante pueda acceder a la memoria flash SPI y se ejecute código arbitrario, similar a la 20577. Podemos ver una lista de todas las generaciones de CPU afectadas de PC, portátil y servidores, junto a la versión BIOS mínima necesaria y la fecha en la que está disponible. Tal y como podemos ver, hay procesadores como los Ryzen 3000 de escritorio o los Ryzen 4000 de portátil que aún no se han parcheado y por tanto, conviene esperar a las fechas previstas.