AMD confirma las vulnerabilidades anunciadas por CTS Labs

AMD confirma las vulnerabilidades anunciadas por CTS Labs

Las últimas semanas han sido movidas para el fabricante de procesadores AMD tras la filtración de numerosas vulnerabilidades en el código de sus procesadores Ryzen y AMD Epyc.

La empresa de ciberseguridad CTS Labs publicó la pasada semana nada menos que 13 vulnerabilidades relacionadas con estos procesadores, dando a la compañía menos de 24 horas para solucionar dichos fallos de seguridad antes de hacer pública dicha información.

¿Quién podría tildarles de irresponsables? Al fin y al cabo, Intel estuvo contemplando el tiempo pasar durante 7 meses desde que se descubrieron por vez primera las vulnerabilidades Spectre y Meltdown, mientras su CEO se dedicaba a vender las acciones que poseía en la compañía (ante la previsión del batacazo cuando se hicieran de dominio público).

13 vulnerabilidades anunciadas en procesadores AMD Ryzen y Epyc

A pesar de que la empresa CTS Labs ha sido vilipendiada por muchos periodistas y expertos en TI finalmente AMD ha tenido que reconocer que tales vulnerabilidades existen. Eso sí, han dicho desde un principio que no eran tan graves como se decía, posiblemente en un intento de minimizar el impacto económico en la compañía.

AMD ha escrito en la nota informativa lo siguiente:

Es importante hacer notar que todos los fallos informados en el estudio requieren acceso administrativo al sistema, un tipo de acceso que garantiza de forma efectiva acceso sin restricciones al usuario, con derecho a borrar, crear o modificar cualesquiera carpetas/archivos en el sistema, además de modificar los ajustes del mismo. Cualquier atacante que consiga acceso no autorizado al sistema conseguirá la facultad de acceder a un amplio repertorio de ataques, mayores aún de los anunciados en esos informes.

Según afirman expertos en ciberseguridad, no existe un riesgo inmediato de explotaciónde tales vulnerabilidades para la mayoría de usuarios.

Incluso aunque los detalles completos se publicasen hoy mismo, los atacantes necesitarían invertir bastantes recursos en desarrollar herramientas de ataque para utilizar estas vulnerabilidades. Sin embargo, existen organizaciones (que no hace falta mencionar) que cuentan con tales recursos, ¿verdad?

AMD-vulnerabilidades

Las vulnerabilidades han recibido los nombres de Chimera, Masterkey, Fallout y Ryzenfall.

Conviene recordar que un atacante con acceso físico al sistema en cuestión -algo no tan complicado en la empresa- podría tener acceso a ese amplio repertorio de vulnerabilidades citadas, creando por ejemplo una backdoor.

Diferentes formas de revelar información

Dicho lo anterior, queda claro que hay dos formas de hacer las cosas cuando se refiere a comunicar vulnerabilidades.

En el caso de Intel (Meltdown / Spectre) se optó por informar de forma privada a la compañía, dando tiempo más que suficiente para tomar precauciones (algo que finalmente no sucedió en un tiempo razonable).

En este caso, sin embargo, CTS Labs ha optado por una estrategia diferente: ha anunciado que existían varios fallos de seguridad en procesadores AMD -sin dar detalles concretos- para así movilizar al público y poner presión sobre la firma.

AMD ha anunciado que lanzará un detallado informe la semana que viene, así que parece que al menos la estrategia está funcionando. 

Más información

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.