La semana pasada hubo un gran revuelo en internet entre los aficionados a los procesadores debido a que una casi desconocida CTS-Labs, empresa dedicada a la seguridad, anunció haber encontrado trece vulnerabilidades en los procesadores Ryzen y EPYC. El error de la compañía fue haberle dado solo 24 horas de preaviso a AMD, lo que hizo cargar contra CTS-Labs en todos los frentes, incluso el de la veracidad de lo que dice, que si eran israelíes y por tanto pagados por Intel (¿?), u otras lindezas.
Eso se llama «argumento ad hominem», y es una cortina de humo en estas situaciones para evitar debatir sobre el tema principal que era si las vulnerabilidades existían o no. Como dejé claro, la forma que tuvo de anunciarlo CTS-Labs es deplorable, y con la clara intención de hacer daño a AMD. Sin embargo, también dije que la única que podía confirmar su existencia o no era AMD y en disposición de valorar su alcance —y no las elucubraciones de los internautas—, la cual ha dado un paso al frente y ha dicho que, efectivamente, las vulnerabilidades descritas por CTS-Labs existen.
Como se venía diciendo desde un principio, todas las vulnerabilidades requieren de privilegios de administrador —se puede hacer en remoto, ya que se miente al decir que se necesita acceso físico al equipo—, por lo que son ataques de segunda línea. Cuando atacas un sistema, se necesitan concatenar varios ataques para conseguir el objetivo de controlar un equipo. Como dije, no son vulnerabilidades fácilmente explotables, como tampoco lo son Meltdown y Spectre —al menos de momento, que se sigue sin conocer casos de su uso a campo abierto—.
La buena noticia es que AMD asegura que puede solucionar los fallos en unas semanas, en lugar de meses como aseguraba CTS-Labs, a través de parches de firmware y del BIOS. En este caso, no habrá impacto en el rendimiento de los equipos, ya que en realidad la compañía ha indicado que los problemas no son de los núcleos Ryzen en sí, sino del procesador de seguridad de la plataforma (PSP) que AMD integra en todos los procesadores para segurizarlos, así como en los chipsets de ASMedia. Esto tampoco es nuevo porque era lo indicado en el libro blanco difundido por CTS-Labs. El PSP requiere la actualización de firmware y la del BIOS evitará los fallos de los chips de ASMedia.
AMD no ha valorado la gravedad de estas vulnerabilidades y se ha escudado en el «son ataques que requieren permisos de administrador». También AMD ha remitido a un análisis previo de hace unos días de la empresa de seguridad Trail of Bits, que confirmaron la existencia de las vulnerabilidades, para respaldar dicho argumento. Lo reprochable de esta situación nuevamente a CTS-Labs son las formas, aunque en el fondo hayan tenido razón con las vulnerabilidades encontradas, que son de relativa gravedad.
Como dicen en Trail of Bits, «este tipo de vulnerabilidades se han encontrado en otros sistemas empotrados que han intentado implementar características de seguridad. Son el resultado de fallos triviales de programación», por lo que una pregunta secundaria de todo esto es, si han ocurrido antes, cómo hace AMD sus pruebas de seguridad si son «fallos triviales de programación». Las compañías de chips, todas en general, deberían invertir más tiempo y esfuerzo en segurizar sus procesadores.