Se han revelado tres vulnerabilidades de seguridad en la especificación del protocolo Peripheral Component Interconnect Express (PCIe) Integrity and Data Encryption (IDE) que podrían exponer a un atacante local a graves riesgos.
Las fallas afectan la Revisión de la especificación base PCIe 5.0 y posteriores en el mecanismo de protocolo introducido por el Aviso de cambio de ingeniería (ECN) de IDE, según el Grupo de interés especial de PCI (PCI-SIG).
«Esto podría potencialmente resultar en una exposición a la seguridad, incluyendo, entre otros, uno o más de los siguientes con los componentes PCIe afectados, dependiendo de la implementación: (i) divulgación de información, (ii) escalada de privilegios o (iii) denegación de servicio», señaló el consorcio.
PCIe es un estándar de alta velocidad ampliamente utilizado para conectar periféricos y componentes de hardware, incluidas tarjetas gráficas, tarjetas de sonido, adaptadores Wi-Fi y Ethernet y dispositivos de almacenamiento, dentro de computadoras y servidores. Introducido en PCIe 6.0, PCIe IDE está diseñado para proteger las transferencias de datos mediante cifrado y protecciones de integridad.
Las tres vulnerabilidades de IDE, descubiertas por los empleados de Intel Arie Aharon, Makaram Raghunandan, Scott Constable y Shalini Sharma, se enumeran a continuación:
- CVE-2025-9612 (Reordenamiento IDE prohibido): una verificación de integridad faltante en un puerto receptor puede permitir el reordenamiento del tráfico PCIe, lo que lleva al receptor a procesar datos obsoletos.
- CVE-2025-9613 (Redireccionamiento del tiempo de espera de finalización): la eliminación incompleta de un tiempo de espera de finalización puede permitir que un receptor acepte datos incorrectos cuando un atacante inyecta un paquete con una etiqueta coincidente.
- CVE-2025-9614 (Redireccionamiento publicado retrasado): el vaciado o la recodificación incompleta de una secuencia IDE puede provocar que el receptor consuma paquetes de datos obsoletos e incorrectos.
PCI-SIG dijo que la explotación exitosa de las vulnerabilidades antes mencionadas podría socavar los objetivos de confidencialidad, integridad y seguridad de IDE. Sin embargo, los ataques dependen de obtener acceso físico o de bajo nivel a la interfaz PCIe IDE de la computadora objetivo, lo que los convierte en errores de baja gravedad (puntaje CVSS v3.1: 3.0/puntaje CVSS v4: 1.8).
«Las tres vulnerabilidades exponen potencialmente los sistemas que implementan IDE y el Protocolo de seguridad de interfaz de dominio confiable (TDISP) a un adversario que puede violar el aislamiento entre entornos de ejecución confiables», dijo.
En un aviso publicado el martes, el Centro de Coordinación CERT (CERT/CC) instó a los fabricantes a seguir el estándar PCIe 6.0 actualizado y aplicar la guía de errata n.° 1 a sus implementaciones IDE. Intel y AMD han publicado sus propias alertas, indicando que los problemas afectan a los siguientes productos:
- Procesadores Intel Xeon 6 con núcleos P
- SoC Intel Xeon serie 6700P-B/6500P-B con P-Cores.
- Procesadores AMD EPYC serie 9005
- Procesadores integrados AMD EPYC serie 9005
«Los usuarios finales deben aplicar las actualizaciones de firmware proporcionadas por sus sistemas o proveedores de componentes, especialmente en entornos que dependen de IDE para proteger datos confidenciales», dijo CERT/CC.
