Se han revelado tres vulnerabilidades en la especificación del protocolo Peripheral Component Interconnect Express (PCIe) Integrity and Data Encryption (IDE) que podrían exponer a un atacante local a graves riesgos.
Según el Grupo de Interés Especial de PCI (PCI-SIG), las deficiencias afectan la Revisión de Especificación Base PCIe 5.0 y posteriores en el mecanismo de protocolo introducido por el Aviso de Cambio de Ingeniería (ECN) de IDE.
“Esto podría potencialmente resultar en un compromiso de seguridad, que incluye, entre otras, una o más de las siguientes consecuencias en los componentes PCIe afectados, dependiendo de la implementación: (i) divulgación de información, (ii) escalada de privilegios o (iii) denegación de servicio”, señaló el consorcio.
PCIe es un estándar de alta velocidad ampliamente utilizado para conectar componentes y periféricos de hardware, incluidas tarjetas gráficas, tarjetas de sonido, adaptadores Wi-Fi y Ethernet y dispositivos de almacenamiento, en computadoras y servidores. Introducido con PCIe 6.0, PCIe IDE está diseñado para asegurar las transferencias de datos mediante cifrado y protección de integridad.
Las tres vulnerabilidades de IDE descubiertas por los empleados de Intel Arie Aharon, Makaram Raghunandan, Scott Constable y Shalini Sharma se enumeran a continuación:
- CVE-2025-9612 (Reordenamiento IDE prohibido): la falta de verificación de integridad en un puerto receptor puede permitir que se reordene el tráfico PCIe, lo que hace que el receptor procese datos obsoletos.
- CVE-2025-9613 (Redirección del tiempo de espera de finalización): borrar de forma incompleta un tiempo de espera de finalización permite que un destinatario acepte potencialmente datos incorrectos si un atacante inyecta un paquete con una etiqueta coincidente.
- CVE-2025-9614 (Redireccionamiento publicado retrasado): el vaciado o la recodificación incompleta de una secuencia IDE puede hacer que el receptor consuma paquetes de datos obsoletos e incorrectos.
PCI-SIG dijo que la explotación exitosa de las vulnerabilidades anteriores podría socavar los objetivos de confidencialidad, integridad y seguridad de IDE. Sin embargo, los ataques se basan en obtener acceso físico o de bajo nivel a la interfaz PCIe IDE de la computadora objetivo, lo que los convierte en errores de baja gravedad (puntuación CVSS v3.1: 3,0/puntuación CVSS v4: 1,8).
“Las tres vulnerabilidades exponen potencialmente los sistemas que implementan IDE y el Protocolo de seguridad de interfaz de dominio confiable (TDISP) a un atacante que puede romper el aislamiento entre entornos de ejecución confiables”, dijo.
En un aviso publicado el martes, el Centro de Coordinación CERT (CERT/CC) instó a los fabricantes a seguir el estándar PCIe 6.0 actualizado y aplicar la guía de errata n.° 1 a sus implementaciones IDE. Intel y AMD han publicado sus propias advertencias indicando que los problemas afectan a los siguientes productos:
- Procesadores Intel Xeon 6 con núcleos P
- SoC Intel Xeon serie 6700P-B/6500P-B con P-Cores.
- Procesadores AMD EPYC serie 9005
- Procesadores AMD EPYC integrados serie 9005
“Los usuarios finales deben aplicar las actualizaciones de firmware proporcionadas por sus proveedores de sistemas o componentes, especialmente en entornos que dependen de IDE para proteger datos confidenciales”, dijo.
About The Author
