Três vulnerabilidades de segurança foram identificadas na especificação do protocolo PCIe Integrity and Data Encryption (IDE), podendo expor atacantes locais a riscos significativos.
As falhas afetam a especificação PCIe Base Specification a partir da versão 5.0, especificamente o mecanismo introduzido pela IDE Engineering Change Notice (ECN), conforme comunicado pelo PCI Special Interest Group (PCI-SIG).
Segundo o consórcio, as vulnerabilidades podem provocar consequências graves para os componentes PCIe afetados, dependendo da implementação.
Entre os riscos estão vazamento de informações, escalonamento de privilégios e negação de serviço.
O PCIe é o padrão de alta velocidade amplamente utilizado para conectar periféricos e componentes, como placas gráficas, de som, adaptadores Wi-Fi e Ethernet, além de dispositivos de armazenamento em computadores e servidores.
Introduzido no PCIe 6.0, o protocolo IDE protege as transferências de dados por meio de mecanismos de criptografia e integridade.
As três vulnerabilidades descobertas pela equipe da Intel — composta por Arie Aharon, Makaram Raghunandan, Scott Constable e Shalini Sharma — são:
- **
CVE-2025-9612
(Forbidden IDE Reordering)** – A ausência de verificação de integridade em uma porta receptora pode permitir a reorganização do tráfego PCIe, levando à recepção e processamento de dados desatualizados.
- **
CVE-2025-9613
(Completion Timeout Redirection)** – A falha em limpar completamente o tempo limite de conclusão possibilita que um invasor injete pacotes com tags correspondentes, fazendo o receptor aceitar dados incorretos.
- **
CVE-2025-9614
(Delayed Posted Redirection)** – A limpeza ou reatividade incompleta de uma transmissão IDE pode resultar no consumo, pelo receptor, de pacotes de dados antigos e incorretos.
O PCI-SIG ressalta que a exploração dessas vulnerabilidades compromete a confidencialidade, a integridade e a segurança do protocolo IDE.
No entanto, as falhas exigem acesso físico ou um nível muito baixo na interface PCIe IDE da máquina-alvo, o que as classifica como de baixa severidade (pontuação CVSS v3.1: 3,0 / CVSS v4: 1,8).
Além disso, todas as três vulnerabilidades podem permitir que um atacante quebre o isolamento entre ambientes de execução confiáveis em sistemas que implementam o IDE e o Trusted Domain Interface Security Protocol (TDISP).
Em aviso divulgado nesta terça-feira, o CERT Coordination Center (CERT/CC) recomenda aos fabricantes a adoção da versão atualizada do padrão PCIe 6.0 e o seguimento das orientações da Erratum #1 para suas implementações IDE.
Intel e AMD também emitiram alertas confirmando o impacto nas seguintes linhas de produtos:
- Processadores Intel Xeon Série 6 com P-cores
- SoCs Intel Xeon 6700P-B/6500P-B com P-Cores
- Processadores AMD EPYC 9005 Series
- Processadores AMD EPYC Embedded 9005 Series
O CERT/CC enfatiza que os usuários finais devem aplicar as atualizações de firmware disponibilizadas por seus fornecedores, especialmente em ambientes que dependem do IDE para proteger dados sensíveis.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...