Исследователи показали три Rowhammer-атаки, дающих полный контроль над машинами с GPU Nvidia

Атаки GDDRHammer, GeForge и GPUBreach эксплуатируют bitflip-ы в видеопамяти GDDR6 для полной компрометации хост-машины. GPUBreach обходит даже IOMMU.

Новости Tproger
Обложка: Исследователи показали три Rowhammer-атаки, дающих полный контроль над машинами с GPU Nvidia

Графические ускорители стоимостью от $8000 часто делят между десятками пользователей в облаке. Три независимых исследования, опубликованные на этой неделе, показали: атакующий может получить полный root-доступ к хост-машине, эксплуатируя Rowhammer-уязвимости в видеопамяти GDDR6 карт Nvidia.

Rowhammer — класс атак, при которых многократное обращение к одной строке DRAM-памяти вызывает электрические помехи в соседних строках, переключая биты (0 → 1 и наоборот). До сих пор атаки целились в оперативную память CPU. Теперь три команды независимо доказали: видеопамять GPU уязвима не меньше — и последствия критичнее.

Ключевые выводы
  • Три независимых атаки — GDDRHammer, GeForge, GPUBreach — дают полную эскалацию привилегий до root через видеопамять
  • Уязвимы карты RTX 3060 и RTX 6000 (архитектура Ampere). Новые поколения пока не проверены
  • GDDRHammer: 129 bitflip-ов на банк памяти — в 64 раза больше, чем предыдущий рекорд GPUHammer (2025)
  • GPUBreach работает даже с включённым IOMMU — обходит защиту через баги в драйвере Nvidia
  • Защита: включить IOMMU в BIOS (от GDDRHammer/GeForge) и ECC на GPU. Активных атак в дикой природе не зафиксировано

По материалам Ars Technica.

Rowhammer: от CPU к GPU за 10 лет

Rowhammer-атаки впервые продемонстрировали в 2014 году на DDR3-памяти. За десятилетие техника эволюционировала: исследователи научились обходить ECC-защиту, атаковать DDR4 с Target Row Refresh, использовать Rowhammer для эскалации привилегий и кражи криптографических ключей.

В 2025 году GPUHammer впервые показал, что видеопамять GDDR тоже уязвима — но результаты были скромными: всего 8 bitflip-ов, достаточных лишь для деградации нейросети на целевом GPU. Три новых исследования превращают эту демонстрацию в полноценное оружие.

Три атаки: GDDRHammer, GeForge, GPUBreach

GDDRHammer: 129 bitflip-ов на банк

GDDRHammer (Graphics DDR + Greatly Disturbing DRAM Rows) работает на RTX 6000 архитектуры Ampere. Используя новые паттерны «хаммеринга» и технику memory massaging, атака вызывает в среднем 129 bitflip-ов на банк памяти — в 64 раза больше, чем GPUHammer годом ранее.

Через манипуляцию GPU page table атакующий получает произвольный доступ на чтение и запись ко всей памяти GPU. Затем — перенаправляет page table на память CPU, получая полный контроль над хост-машиной.

Rowhammer на видеопамяти GPU — такая же серьёзная угроза безопасности, как и на CPU. Все существующие аппаратные и программные защиты от Rowhammer на CPU недостаточны, если не учитывать угрозу со стороны GPU-памяти.
Эндрю КвонгСоавтор GDDRHammer (пересказ из письма Ars Technica)

GeForge: 1171 bitflip на RTX 3060

GeForge (Hammering GDDR Memory to Forge GPU Page Tables for Fun and Profit) использует похожий подход, но манипулирует page directory вместо page table. Результат — 1171 bitflip на RTX 3060 и 202 на RTX 6000.

Proof-of-concept на RTX 3060 завершается открытием root-shell на хост-машине. По словам авторов, это первый GPU-side Rowhammer-эксплойт, достигающий эскалации привилегий на хосте.

GPUBreach: обход IOMMU

GPUBreach принципиально отличается от первых двух атак. GDDRHammer и GeForge требуют отключённого IOMMU (Input-Output Memory Management Unit — модуль, ограничивающий доступ устройств к памяти хоста; отключён в BIOS по умолчанию). GPUBreach, продемонстрированный на RTX A6000, работает даже с включённым IOMMU.

Атака эксплуатирует баги безопасности памяти в самом драйвере Nvidia. Даже когда IOMMU ограничивает прямой доступ GPU к памяти хоста, GPUBreach повреждает метаданные внутри разрешённых буферов. Драйвер, работающий с привилегиями ядра на CPU, выполняет out-of-bounds записи под контролем атакующего.

Memory massaging: как обойти защиту page table

Драйвер Nvidia хранит GPU page table в защищённой области низкоуровневой памяти, где bitflip-ы от Rowhammer невозможны. Все три атаки используют технику memory massaging — перемещение page table в незащищённые регионы.

GDDRHammer и GeForge сначала «истощают» стандартный пул аллокатора через sparse UVM-обращения, затем освобождают целевой фрейм памяти в нужный момент — так, чтобы драйвер разместил page table именно в уязвимом регионе. После этого Rowhammer переключает биты в записях page table, перенаправляя указатели на память атакующего.

Какие карты уязвимы и что делать

Подтверждённо уязвимы RTX 3060 и RTX 6000 архитектуры Ampere (2020). Карты Ada Lovelace и более новых поколений пока не исследованы — GDDRHammer не смог атаковать RTX 6000 Ada из-за нового типа GDDR, который исследователи не стали реверс-инженерить.

  1. Включить IOMMU в BIOS — защищает от GDDRHammer и GeForge (но не от GPUBreach). По умолчанию IOMMU отключён для максимальной совместимости
  2. Включить ECC на GPU командой nvidia-smi -e 1 — снижает объём доступной памяти, но затрудняет bitflip-ы
  3. Следить за обновлениями драйверов Nvidia — компания опубликовала рекомендации по GPUHammer 2025 года, но патча для новых атак пока нет
  4. Оценить риски для multi-tenant GPU-окружений — если несколько пользователей делят один GPU, атака возможна из непривилегированного CUDA-ядра
Активных атак Rowhammer в дикой природе не зафиксировано. Исследования носят академический характер, но демонстрируют реальную угрозу для shared GPU-инфраструктуры.
FAQ
1
Что такое Rowhammer?

Rowhammer — класс атак на DRAM-память, при которых многократное обращение к одной строке памяти вызывает электрические помехи в соседних строках, переключая биты (0 → 1 или 1 → 0). Впервые продемонстрирован в 2014 году. Используется для эскалации привилегий, обхода песочниц и кражи данных.

2
Какие видеокарты Nvidia уязвимы?

Подтверждённо уязвимы RTX 3060 и RTX 6000 архитектуры Ampere (2020). Карты новых поколений (Ada Lovelace, Blackwell) пока не исследованы. Уязвимость специфична для GDDR6-памяти — HBM-память (используется в дата-центрах A100/H100) не тестировалась.

3
Может ли обычный пользователь подвергнуться атаке?

Основной вектор — shared GPU-окружения (облака, HPC-кластеры), где несколько пользователей делят один GPU. Для локальной машины с единственным пользователем риск минимален: атакующему нужен доступ для запуска CUDA-ядра на целевом GPU.

4
Как защититься от Rowhammer на GPU?

Включить IOMMU в BIOS (защищает от GDDRHammer и GeForge, но не GPUBreach) и ECC на GPU через nvidia-smi. Обе меры снижают производительность. Следить за обновлениями драйверов Nvidia. Для облачных развёртываний — использовать провайдеров с усиленной изоляцией GPU-ресурсов.

Три исследования показали: защита от Rowhammer на CPU бесполезна без аналогичной защиты на GPU. Пока атаки носят академический характер, но с ростом shared GPU-инфраструктуры для ИИ-вычислений угроза становится практически значимой. О других актуальных уязвимостях — в материалах про критические баги в Mongoose и supply chain атаки 2026 года.

Подробности об исследованиях GDDRHammer и GeForge — в материале Ars Technica.

В этой статье
  1. Ключевые выводы
  2. Rowhammer: от CPU к GPU за 10 лет
  3. Три атаки: GDDRHammer, GeForge, GPUBreach
  4. Memory massaging: как обойти защиту page table
  5. Какие карты уязвимы и что делать
  6. FAQ
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter