主要ハードウェアベンダー各社は、最近発見された3つのPCI Express(PCIe)脆弱性の潜在的な影響について調査を進めている。
PCIeは、GPU、SSD、ネットワークカードなどの周辺機器をコンピュータやサーバー内部で接続するために広く使用されている、高速ハードウェアインターフェース規格である。また、CPUとこれらの周辺機器との間の直接的な通信リンクとしても機能する。
インテルの従業員によって発見されたこれらの欠陥は、PCIe Integrity and Data Encryption(IDE)規格に影響を与える。これらのセキュリティホールは、CVE-2025-9612、CVE-2025-9613、CVE-2025-9614として追跡されている。
PCIe 6.0で導入されたPCIe IDEは、暗号化と完全性保護によってデータ転送を保護するよう設計されている。
「IDEはAES-GCM暗号化を使用して、PCIeコンポーネント間のトラフィックに対し、機密性、完全性、およびリプレイ耐性を提供します。トランザクション層とデータリンク層の間で動作し、リンクトラフィックの不正な改ざんに対して、ハードウェアに近いレベルで保護を提供します」と、カーネギーメロン大学のCERT/CCは勧告の中で説明している。
「3つの仕様レベルの脆弱性は、特定の条件下で、攻撃者がPCIeインターフェース上で特定のトラフィックパターンを生成できる場合に、古いデータまたは誤ったデータが使用される事態を招く可能性があります」とCERT/CCは付け加えた。
これらの脆弱性を悪用されると、情報漏えい、権限昇格、またはサービス拒否(DoS)につながる可能性がある。
しかし、これらの脆弱性はすべて「重大度が低い」と分類されている。というのも、悪用には、標的となるコンピュータのPCIe IDEインターフェースへの物理的または低レベルのアクセスが必要となるためである。
この種の脆弱性は、一般的にはハードウェアセキュリティを専門とするセキュリティ研究者や、高度に標的を絞った攻撃において、システムへの深くステルス性の高いアクセスを得ようとする洗練された脅威アクターにとって有用となり得る。
PCIeの開発と維持を担うコンソーシアムであるPCI Special Interest Group(SIG)は、それぞれの脆弱性の概要をまとめた勧告を公開している。
PCIeを使用するハードウェアベンダーには、脆弱性に対処するエンジニアリング変更通知(ECN)が提供されている。システムおよびコンポーネントのサプライヤーは、ファームウェアアップデートをリリースすることが期待されている。
CERT/CCの勧告によると、自社製品への影響を確認したのはインテルとAMDのみである。Nvidia、Dell、F5、Keysightは影響を受けないと述べている。しかし、Arm、Cisco、Google、HP、IBM、Lenovo、Qualcommを含む10社以上のベンダーについては、影響状況が「不明」とされている。
インテルは独自の勧告を公開し、一部のXeon 6およびXeon 6700P-B/6500P-Bシリーズのプロセッサが影響を受けることを顧客に通知している。
AMDも勧告を公開している。同社は、脆弱性に関する追加の詳細をまだ待っている段階だが、EPYC 9005シリーズ(組み込み向けを含む)のプロセッサが影響を受ける可能性があるとみている。
翻訳元: https://www.securityweek.com/intel-amd-processors-affected-by-pcie-vulnerabilities/
