GPUBreach: kuidas üksik bitipööre GPU mälus võib kukutada kogu host-süsteemi

Üksik bitipööre, mis toimub graafikakaardi mikroskoopilistes transistorites, võib nüüd anda ründajale täieliku administratiivse kontrolli miljonite dollarite väärtuses serveri üle. Kuigi küberturvalisuse tööstus on pikka aega vaadelnud GPU-d kui suure jõudlusega liivakasti tehisintellekti ja renderdamise jaoks, viitavad uued uuringud, et sellel liivakastil on lõksuuks, mis viib otse operatsioonisüsteemi südamesse. Tulevasel 47. IEEE turvalisuse ja privaatsuse sümpoosionil (Oakland 2026) avalikustavad Toronto Ülikooli teadlased GPUBreach-i – keeruka ründe, mis kasutab mälukorruptsiooni, et saavutada host-süsteemides juurkasutaja tasemel (root) juurdepääs.

See avastus tähistab olulist eskalatsiooni Rowhammeri rünnete ajaloos. Ajalooliselt oli Rowhammer CPU hallatava DRAM-i kurioosum, kus mäluridade kiire korduv pöördus põhjustas elektrilist leket, pöörates bitte külgnevates ridades. GPUBreach tõestab, et tänapäevastes GPU-des leiduv kiire GDDR6 mälu ei ole mitte ainult haavatav, vaid seda saab kasutada ka täppistööriistana süsteemseks kompromiteerimiseks. Kulisside taga muudab see uuring riistvaralise ebastabiilsuse kirurgiliseks löögiks kerneli vastu.

GPU-põhise ülevõtmise anatoomia

Et mõista, miks GPUBreach on nii võimas, peame vaatama arhitektuurilist taset, kuidas GPU oma mälu haldab. Erinevalt varasematest GPU-põhistest Rowhammeri iteratsioonidest, nagu GPUHammer, mis keskendusid peamiselt masinõppemudelite täpsuse vähendamisele, sihib GPUBreach leheküljetabeli kirjeid (Page Table Entries ehk PTE-d). Need kirjed on sisuliselt kaart, mida riistvara kasutab teadmiseks, milline andmeüksus kuulub millisele protsessile.

NVIDIA omandusliku draiveri käitumist tagurpidi projekteerides avastasid teadlased, et GPU leheküljetabelid eraldatakse sageli külgnevates 2-MB piirkondades. Kasutades ühtset virtuaalmälu (Unified Virtual Memory ehk UVM) ja ajastuspõhist külgkanalit, töötas meeskond välja meetodi nende piirkondade tihedaks täitmiseks, tagades, et nende pahatahtlikud leheküljetabelid asusid füüsiliselt nende ridade kõrval, mida nad kavatsesid "vasardada". Kui PTE-s toimub bitipööre, joonistatakse kaart ümber. Järsku ei ole ründaja protsess enam piiratud oma mäluga; see saab suunata oma "kaardi" mis tahes muusse kohta GPU mälus, haarates tõhusalt kontrolli kogu täitmiskonteksti üle.

IOMMU-st möödahiilimine: hüpe protsessorini

Võib-olla kõige murettekitavam GPUBreach-i aspekt on selle võime hüpata GPU-lt CPU-le. Kaasaegsetes turvaarhitektuurides toimib IOMMU (sisend-väljundmälu haldusüksus) nagu VIP-klubi turvamees igal siseuksel, takistades teoreetiliselt välisseadmetel, nagu GPU-d, juurdepääsu süsteemi RAM-i volitamata piirkondadele. GPUBreach aga demonstreerib, et seda turvameest saab petta.

Manipuleerides korrumpeerunud GPU leheküljetabelites spetsiifiliste "apertuuri bittidega", saab kompromiteeritud GPU algatada otsese mälupöörduse (DMA) kirjutamisi CPU mälupiirkondadesse, mida IOMMU selgesõnaliselt lubab — näiteks NVIDIA kerneli draiveri poolt hallatavatesse puhvritesse. Kui ründaja on nendes draiveri hallatavates puhvrites kanda kinnitanud, saab ta ära kasutada mäluturvalisuse haavatavusi draiveris endas. See käivitab piiridest väljaspool toimuva kirjutamise, luues suvalise kerneli kirjutamise primitiivi. Lõpuks võimaldab see ahel ründajal käivitada host-süsteemis juurkasutaja kesta (root shell), muutes IOMMU kaitse asjatuks ilma seda kunagi välja lülitamata.

Reaalsed tagajärjed tehisintellektile ja pilveteenustele

Lõppkasutaja vaatepunktist, eriti tehisintellekti ja teadussektoris, on riskid mitmetahulised. Teadlased demonstreerisid, et GPUBreach-i saab kasutada salajaste võtmete varastamiseks NVIDIA cuPQC postkvant-krüptograafia teegist. Maailmas, kus me võistleme andmete turvamiseks tulevaste kvantohtude eest, on võtmete varastamine GPU mälust täna kainestav reaalsus.

Lisaks kujutab rünnak tõsist ohtu suurte keelemudelite (LLM) terviklikkusele. Ründaja võib salaja muuta madala taseme cuBLAS-i juhiseid, et halvendada mudeli jõudlust või, mis veelgi ohtlikum, lekitada tundlikke mudeli kaale. Jagatud GPU-keskkondades — mis on kaasaegse pilvandmetöötluse selgroog — võimaldab see protsessidevahelist andmetele juurdepääsu. Mitme rentnikuga pilveteenuse pakkuja jaoks on see digitaalne ekvivalent naftareostusele; ühe kliendi kompromiteeritud instantsi saaste võib imbuda iga teise seda riistvara jagava kliendi andmetesse.

Kaitse dilemma: kas ECC-st piisab?

Kui teadlased 2025. aasta lõpus need leiud NVIDIA-le avaldasid, rõhutas vastus ebakindlat lünka praegustes riistvaralistes kaitsesüsteemides. NVIDIA soovitab lubada veaparanduskoodiga (ECC) mälu serveritaseme riistvaral, nagu uuringus kasutatud RTX A6000. Põhimõtteliselt on ECC loodud üksikute bitipöörete tuvastamiseks ja parandamiseks, toimides vastupidava esimese kaitseliinina.

Praktikas ei ole ECC aga purunemiskindel digitaalne seif. Seda saab üle koormata mitmebitiste pööretega ja mis veelgi olulisem, see puudub peaaegu täielikult tarbijaklassi GPU-dest, mida leidub sülearvutites ja lauaarvutites. Miljonite arendajate ja andmeteadlaste kasutatavate tööjaamade jaoks, millel puudub ECC tugi, ei ole praegu terviklikku leevendust. Selle parandamine ei ole nii lihtne kui aukude lappimine laeva keres; see nõuab põhjalikku ümbermõtestamist, kuidas draiverid ja riistvara omavahel suhtlevad.

Ohumaastiku hindamine

Inimesena, kes on aastaid analüüsinud keerukaid APT-ründeid ja suhelnud eetiliste häkkerite kogukonnaga, pean GPUBreach-i eriti paeluvaks, sest see ületab lõhe teoreetiliste riistvaravigade ja teostatava ärakasutamise vahel. See tuletab meile meelde, et turvalisus on vaid nii tugev kui riistvara-tarkvara pinu kõige nõrgem lüli. Kuigi Google on tunnistanud probleemi tõsidust veapreemiaga ja NVIDIA uuendab oma nõuandeid, tähendab Rowhammeri süsteemne olemus, et see probleem püsib tõenäoliselt aastaid.

Vaadates ohumaastikku, peame loobuma ideest, et riistvaraline isolatsioon on absoluutne. Oleme sisenemas ajastusse, kus "inimtulemüürist" ei piisa; vajame riistvara, mis on disainilt turvaline, ja tarkvara, mis eeldab, et selle all olev riistvara võib valetada.

Mida edasi teha: proaktiivne kontrollnimekiri

Kui haldate suure jõudlusega arvutusklastreid või tundlikke tehisintellekti töökoormusi, ei saa te endale lubada täiusliku paiga ootamist. Siin on sammud, mida peaksite täna astuma:

• Auditeerige riistvara ECC osas: Veenduge, et kõigil kriitilistes keskkondades asuvatel GPU-del on ECC lubatud. Kuigi see pole imerohi, tõstab see ründaja jaoks latti märkimisväärselt.
• Rakendage üksikasjalik seire: Jälgige ebatavalisi GPU draiveri krahhe või mäluvigu. GPUBreach-i katsed jätavad sageli enne õnnestumist maha ebastabiilsuse jälje.
• Isoleerige väärtuslikud töökoormused: Pilvekeskkondades kaaluge "konfidentsiaalse arvutuse" instantside või spetsiaalse riistvara kasutamist ülesannete jaoks, mis hõlmavad tundlikke krüptograafilisi võtmeid või omanduslikke LLM-kaale.
• Uuendage draivereid regulaarselt: Kuigi GPUBreach kasutab ära riistvaraviga, toetub eskalatsioon CPU-le draiveri haavatavustele. NVIDIA kerneli draiveri ajakohasena hoidmine on ründeahela katkestamiseks hädavajalik.

GPUBreach on karm meeldetuletus, et küberturvalisuse maailmas on pind, millel seisame — riistvara ise — sageli vähem kindel, kui arvame.

Allikad

• University of Toronto Research Paper: "GPUBreach: Achieving Root Access via GPU Rowhammer"
• IEEE Symposium on Security & Privacy (Oakland 2026) Proceedings
• NVIDIA Product Security Incident Response Team (PSIRT) Advisory Updates
• Google Vulnerability Reward Program (VRP) Disclosure Reports