Una nueva investigación académica ha identificado múltiples ataques RowHammer contra unidades de procesamiento de gráficos (GPU) de alto rendimiento que podrían explotarse para aumentar los privilegios y, en algunos casos, incluso tomar el control total de un host.

Los esfuerzos han recibido el nombre en clave. Incumplimiento de GPU, GDDRMartilloy GeForge.

GPUBreach va un paso más allá que GPUHammer, demostrando por primera vez que los cambios de bits de RowHammer en la memoria de la GPU pueden inducir mucho más que corrupción de datos y permitir una escalada de privilegios y llevar a un compromiso total del sistema.

«Al corromper las tablas de páginas de la GPU a través de cambios de bits GDDR6, un proceso sin privilegios puede obtener lectura/escritura arbitraria de la memoria de la GPU y luego encadenarla en una escalada completa de privilegios de la CPU, generando un shell raíz, explotando errores de seguridad de la memoria en el controlador NVIDIA», Gururaj Saileshwar, uno de los autores del estudio y profesor asistente en la Universidad de Toronto, dicho en una publicación en LinkedIn.

Lo que hace notable a GPUBreach es que funciona incluso sin tener que desactivar la unidad de administración de memoria de entrada-salida (IOMMU), un componente de hardware crucial que garantiza la seguridad de la memoria al prevenir ataques de acceso directo a la memoria (DMA) y aislando cada periférico en su propio espacio de memoria.

«GPUBreach muestra que no es suficiente: al corromper el estado confiable del controlador dentro de los buffers permitidos por IOMMU, activamos escrituras fuera de límites a nivel del kernel, evitando por completo las protecciones de IOMMU sin necesidad de desactivarlo», agregó Saileshwar. «Esto tiene serias implicaciones para la infraestructura de IA en la nube, las implementaciones de GPU multiinquilino y los entornos HPC».

RowHammer es un error de confiabilidad de la memoria dinámica de acceso aleatorio (DRAM) de larga data donde los accesos repetidos (es decir, martilleo) a una fila de memoria pueden causar interferencia eléctrica que invierte bits (cambiando de 0 a 1 m o viceversa) en filas adyacentes. Esto socava las garantías de aislamiento fundamentales para los sistemas operativos y sandboxes modernos.

Los fabricantes de DRAM han implementado mitigaciones a nivel de hardware, como el Código de corrección de errores (ECC) y la Actualización de fila de destino (TRR), para contrarrestar esta línea de ataque.

Sin embargo, una investigación publicada en julio de 2025 por investigadores de la Universidad de Toronto amplió la amenaza a las GPU. GPUHammer, como se llama, es el primer ataque práctico RowHammer dirigido a GPU NVIDIA que utilizan memoria GDDR6. Emplea técnicas como el martilleo paralelo de subprocesos múltiples para superar los desafíos arquitectónicos inherentes a las GPU que anteriormente las hacían inmunes a los cambios de bits.

La consecuencia de un exploit exitoso de GPUHammer es una caída en la precisión del modelo de aprendizaje automático (ML), que puede degradarse hasta en un 80% cuando se ejecuta en una GPU.

GPUBreach extiende este enfoque para corromper las tablas de páginas de la GPU con RowHammer y lograr una escalada de privilegios, lo que resulta en lectura/escritura arbitraria en la memoria de la GPU. Más importante aún, se ha descubierto que el ataque filtró claves criptográficas secretas de NVIDIA CUPQCorganizar ataques de degradación de la precisión del modelo y obtener una escalada de privilegios de CPU con IOMMU habilitado.

«La GPU comprometida emite DMA (utilizando los bits de apertura en los PTE) en una región de la memoria de la CPU que permite el IOMMU (los propios buffers del controlador de la GPU)», dijeron los investigadores. «Al corromper este estado confiable del controlador, el ataque desencadena errores de seguridad de la memoria en el controlador del kernel de NVIDIA y obtiene una primitiva de escritura del kernel arbitraria, que luego se usa para generar un shell raíz».

Esta divulgación de GPUBreach coincide con otros dos trabajos simultáneos, GDDRHammer y GeForge, que también giran en torno a la corrupción de la tabla de páginas de la GPU a través de GDDR6 RowHammer y facilitan la escalada de privilegios del lado de la GPU. Al igual que GPUBreach, ambas técnicas se pueden utilizar para obtener acceso arbitrario de lectura/escritura a la memoria de la CPU.

Lo que GPUBreach se distingue es que también permite una escalada completa de privilegios de CPU, lo que lo convierte en un ataque más potente. GeForge, en particular, requiere que IOMMU esté deshabilitado para que funcione, mientras que GDDRHammer modifica el campo de apertura de la entrada de la tabla de páginas de la GPU para permitir que los usuarios sin privilegios CUDA kernel para leer y escribir toda la memoria de la CPU del host.

«Una diferencia principal es que GDDRHammer explota la tabla de páginas de último nivel (PT) y GeForge explota el directorio de páginas de último nivel (PD0)», dijeron los equipos detrás de los dos exploits de memoria de GPU. «Sin embargo, ambos trabajos pueden lograr el mismo objetivo de secuestrar la traducción de la tabla de páginas de la GPU para obtener acceso de lectura/escritura a la GPU y a la memoria del host».

Una mitigación temporal para hacer frente a estos ataques es habilitar ECC en la GPU. Dicho esto, cabe señalar que se ha descubierto que los ataques RowHammer como ECCploit y ECC.fail superan esta contramedida.

«Sin embargo, si los patrones de ataque inducen cambios de más de dos bits (que se muestran factibles en sistemas DDR4 y DDR5), el ECC existente no puede corregirlos e incluso puede causar una corrupción silenciosa de los datos; por lo que ECC no es una mitigación infalible contra GPUBreach», dijeron los investigadores. «En las GPU de escritorio o portátiles, donde ECC no está disponible actualmente, no conocemos mitigaciones».

Un actor de amenazas con sede en China conocido por implementar el ransomware Medusa ha sido vinculado al uso como arma de una combinación de vulnerabilidades de día cero y día N para orquestar ataques de «alta velocidad» e irrumpir en sistemas susceptibles conectados a Internet.

«El alto ritmo operativo del actor de amenazas y su habilidad para identificar activos perimetrales expuestos han demostrado ser exitosos, con intrusiones recientes que han impactado fuertemente a las organizaciones de atención médica, así como a aquellas en los sectores de educación, servicios profesionales y finanzas en Australia, el Reino Unido y los Estados Unidos», dijo el equipo de Microsoft Threat Intelligence. dicho.

Ataques montados por Tormenta-1175 También han aprovechado exploits de día cero, en algunos casos, antes de que se revelaran públicamente, así como vulnerabilidades reveladas recientemente para obtener acceso inicial. Algunos incidentes han involucrado al actor de amenazas encadenando múltiples exploits (por ejemplo, OWASSRF) para una actividad posterior al compromiso.

Una vez que logra afianzarse, el actor cibercriminal con motivación financiera actúa rápidamente para exfiltrar datos e implementar el ransomware Medusa en un lapso de unos pocos días o, en incidentes selectos, dentro de 24 horas.

Para ayudar en estos esfuerzos, el grupo crea persistencia creando nuevas cuentas de usuario, implementando web shells o software legítimo de administración y monitoreo remoto (RMM) para el movimiento lateral, realizando robo de credenciales e interfiriendo con el funcionamiento normal de las soluciones de seguridad, antes de eliminar el ransomware.

Desde 2023, Storm-1175 se ha relacionado con la explotación de más de 16 vulnerabilidades:

Se dice que tanto CVE-2025-10035 como CVE-2026-23760 fueron explotados como días cero antes de ser divulgados públicamente. A finales de 2024, el equipo de hackers ha demostrado habilidad para atacar sistemas Linux, incluida la explotación de instancias vulnerables de Oracle WebLogic en varias organizaciones. Sin embargo, aún se desconoce la vulnerabilidad exacta que se utilizó como arma en estos ataques.

«Storm-1175 rota los exploits rápidamente durante el tiempo entre la divulgación y la disponibilidad o adopción del parche, aprovechando el período en el que muchas organizaciones permanecen desprotegidas», dijo Microsoft.

Algunas de las tacticas notables observadas en estos ataques son las siguientes:

• Uso de binarios que viven fuera de la tierra (LOLBins), incluidos PowerShell y PsExec, junto con Impacket para movimiento lateral.
• Confiar en PDQ Deployer tanto para el movimiento lateral como para la entrega de carga útil, incluido el ransomware Medusa, en toda la red.
• Modificar las políticas de Firewall de Windows para habilitar el Protocolo de escritorio remoto (RDP) y enviar cargas útiles maliciosas a otros dispositivos.
• Realización de volcado de credenciales mediante Impacket y Mimikatz.
• Configurar las exclusiones de Microsoft Defender Antivirus para evitar que bloquee las cargas útiles de ransomware.
• Aprovechando Bandizip y Rclone para la recopilación y exfiltración de datos, respectivamente.

La implicación más importante aquí es que las herramientas RMM como AnyDesk, Atera, MeshAgent, ConnectWise ScreenConnect o SimpleHelp se están convirtiendo en infraestructuras de doble uso para operaciones encubiertas, ya que permiten a los actores de amenazas combinar tráfico malicioso en plataformas cifradas y confiables y reducir la probabilidad de detección.

Los actores de amenazas están explotando una falla de seguridad de máxima gravedad en fluiruna plataforma de inteligencia artificial (IA) de código abierto, según nuevos hallazgos de VulnCheck.

La vulnerabilidad en cuestión es CVE-2025-59528 (Puntuación CVSS: 10.0), una vulnerabilidad de inyección de código que podría resultar en la ejecución remota de código.

«El nodo CustomMCP permite a los usuarios ingresar ajustes de configuración para conectarse a un servidor MCP (Protocolo de contexto modelo) externo», Flowise dicho en un aviso publicado en septiembre de 2025. «Este nodo analiza la cadena mcpServerConfig proporcionada por el usuario para crear la configuración del servidor MCP. Sin embargo, durante este proceso, ejecuta código JavaScript sin ninguna validación de seguridad».

Flowise señaló que la explotación exitosa de la vulnerabilidad puede permitir el acceso a módulos peligrosos como child_process (ejecución de comandos) y fs (sistema de archivos), ya que se ejecuta con privilegios completos de tiempo de ejecución de Node.js.

Dicho de otra manera, un actor de amenazas que utiliza la falla como arma puede ejecutar código JavaScript arbitrario en el servidor Flowise, lo que compromete todo el sistema, el acceso al sistema de archivos, la ejecución de comandos y la filtración de datos confidenciales.

«Como sólo se requiere un token API, esto plantea un riesgo de seguridad extremo para la continuidad del negocio y los datos de los clientes», añadió Flowise. Le dio crédito a Kim SooHyun por descubrir e informar la falla. El problema se solucionó en la versión 3.0.6 del paquete npm.

Según los detalles compartidos por VulnCheck, la actividad de explotación de la vulnerabilidad se originó en una única dirección IP de Starlink. CVE-2025-59528 es el tercer defecto de Flowise con explotación salvaje después CVE-2025-8943 (Puntuación CVSS: 9,8), un comando del sistema operativo, ejecución remota de código, y CVE-2025-26319 (Puntuación CVSS: 8,9), una carga de archivo arbitraria.

«Este es un error de gravedad crítica en una popular plataforma de inteligencia artificial utilizada por varias grandes corporaciones», dijo a The Hacker News Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, en un comunicado.

«Esta vulnerabilidad específica ha sido pública durante más de seis meses, lo que significa que los defensores han tenido tiempo para priorizar y parchear la vulnerabilidad. La superficie de ataque de Internet de más de 12.000 instancias expuestas hace que los intentos de exploración y explotación activos que estamos viendo sean más serios, ya que significa que los atacantes tienen muchos objetivos para reconocer y explotar de manera oportunista».