Un equipo de investigadores de la Universidad de Toronto ha revelado recientemente un nuevo vector de ataque bautizado como GPUBreach. Esta técnica explota vulnerabilidades de inversión de bits (bit-flipping) tipo Rowhammer en la memoria GDDR6 de las tarjetas gráficas, lo que permite elevar privilegios y, en última instancia, tomar el control total de los sistemas afectados.
Principios del ataque e impacto
El equipo demostró cómo, mediante inversiones de bits inducidas por Rowhammer, es posible corromper las tablas de páginas (PTE) de la GPU. Esta manipulación otorga a un núcleo CUDA sin privilegios acceso de lectura y escritura arbitrario a la memoria de la GPU. Posteriormente, los atacantes pueden aprovechar vulnerabilidades de seguridad en el controlador de NVIDIA para escalar estos privilegios hasta el procesador (CPU).
A diferencia de métodos anteriores, GPUBreach es efectivo incluso con la protección IOMMU (Unidad de Gestión de Memoria de Entrada/Salida) activada. Aunque la IOMMU fue diseñada precisamente para prevenir ataques de acceso directo a memoria (DMA) al restringir las áreas de memoria a las que pueden acceder los dispositivos, en este caso resulta insuficiente.
Al respecto, el equipo de investigación señaló: «GPUBreach demuestra que los ataques Rowhammer en GPU han evolucionado de una simple corrupción de datos a una verdadera escalada de privilegios. Al corromper las tablas de páginas de la GPU, el atacante obtiene acceso de lectura y escritura a memoria arbitraria y, al combinarlo con vulnerabilidades en el controlador de NVIDIA, puede terminar obteniendo una consola root».
Las pruebas se realizaron utilizando una GPU NVIDIA RTX A6000, un modelo ampliamente utilizado en el desarrollo y entrenamiento de inteligencia artificial. Dado que el ataque funciona con la IOMMU habilitada, su peligrosidad es significativamente mayor que la de ataques previos como GPUHammer.
Los investigadores notificaron sus hallazgos el 11 de noviembre de 2025 a NVIDIA, Google, Amazon Web Services (AWS) y Microsoft. Google ya ha confirmado la vulnerabilidad y ha otorgado una recompensa de 600 dólares a los investigadores. Por su parte, NVIDIA ha declarado que está evaluando el caso y es probable que actualice sus recomendaciones de seguridad basándose en las directrices publicadas anteriormente.
Actualmente, no existen medidas de mitigación eficaces para las GPU de consumo que carecen de memoria ECC (código de corrección de errores). Si bien la memoria ECC puede corregir inversiones de un solo bit y detectar las de dos bits, su fiabilidad es limitada frente a ataques que provocan inversiones de múltiples bits.
El equipo tiene previsto publicar el documento técnico detallado el próximo 13 de abril durante el Simposio de Seguridad y Privacidad de IEEE en Oakland, donde también liberarán los scripts de replicación a través de GitHub.
