GPU NVIDIA vulnerabili a Rowhammer: GPUBreach bypassa anche IOMMU (aggiornato: 7 aprile 2026, ore 09:22)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 07/04/2026, 09:22
- Pubblicato: 07/04/2026, 08:55
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Tre gruppi di ricerca indipendenti hanno dimostrato, quasi in contemporanea, che le GPU NVIDIA con memoria GDDR6 sono vulnerabili ad attacchi di tipo Rowhammer. La tecnica - finora confinata alla RAM di sistema - permette di invertire il valore di singoli bit nella memoria video, corrompere le tabelle di paginazione della GPU e ottenere accesso arbitrario alla memoria del sistema host. Il risultato finale è il controllo completo della macchina, privilegi di root inclusi. La più sofisticata delle tre varianti, chiamata GPUBreach, riesce nell'impresa anche con IOMMU attivo, neutralizzando quella che molti consideravano la principale linea di difesa.
Rowhammer: dalla RAM di sistema alla memoria video
Il principio alla base di Rowhammer è noto da tempo: accedendo ripetutamente a determinate celle di memoria, è possibile invertire il valore di taluni bit (bit-flip) nelle righe adiacenti. Quei singoli bit che cambiano valore - da 0 a 1 o viceversa - possono essere sfruttati per aggirare l'isolamento della memoria tra processi e scalare i privilegi. La ricerca si era concentrata quasi esclusivamente su DDR4 e DDR5 montata sulle schede madri, ovvero la RAM a cui accede la CPU. Le GPU, con i loro gigabyte di memoria GDDR6 ad alta velocità, erano rimaste ai margini dell'analisi di sicurezza.
Non più. Due team - autori rispettivamente degli attacchi battezzati GDDRHammer e GeForge - hanno dimostrato che la GDDR6 montata su schede NVIDIA è suscettibile allo stesso tipo di manipolazione, con un tasso di bit-flip significativamente più alto rispetto ai metodi precedenti applicati alla memoria video. Un terzo gruppo ha poi rivelato GPUBreach, descritto come il più avanzato dei tre.
Come funziona l'attacco: dalla GPU al cuore del sistema
Tutti e tre gli attacchi partono dallo stesso punto: bit-flip mirati nella GDDR6 per corrompere le tabelle di paginazione della GPU. Una volta compromesse, queste strutture dati permettono a un kernel CUDA privo di privilegi di ottenere accesso in lettura e scrittura arbitrario alla memoria della GPU e - questo è il passaggio critico - alla memoria principale della CPU.
La barriera di sicurezza tra il sottosistema grafico e il sistema host crolla. L'aggressore può leggere e scrivere qualsiasi dato presente nella RAM di sistema senza mai interagire con percorsi software privilegiati. Un tipo di compromissione che salta elegantemente tutte le difese software tradizionali: il problema è nel silicio, non nel codice.
GPUBreach: un passo oltre
Ciò che distingue GPUBreach dai suoi due predecessori è la capacità di completare l'intera catena di attacco - dalla corruzione delle tabelle di paginazione GPU fino a una shell di root sull'host - anche con IOMMU abilitato. IOMMU è il meccanismo hardware che limita le regioni di memoria host accessibili ai dispositivi periferici, traducendo gli indirizzi virtuali visibili al dispositivo in indirizzi fisici controllati. In teoria dovrebbe isolare completamente la memoria sensibile dall'accesso diretto della GPU.
GDDRHammer non riesce a scalare i privilegi fino alla CPU. GeForge ci riesce, ma solo quando IOMMU è disabilitato nel BIOS. GPUBreach supera entrambi i limiti, concatenando la corruzione delle tabelle di paginazione GPU con bug di sicurezza della memoria scoperti nel driver proprietario NVIDIA. Vulnerabilità hardware più vulnerabilità software: la combinazione consente il salto dal controllo della GPU al compromesso del kernel lato CPU, rendendo IOMMU insufficiente come contromisura.
GPUBreach è stato portato all'attenzione pubblica da Gururaj Saileshwar, professore presso l'Università di Toronto. Al momento della divulgazione il paper non era ancora stato formalmente pubblicato. Il sito del progetto è raggiungibile all'indirizzo GPUBreach.ca.
Quali GPU sono vulnerabili
I ricercatori hanno testato 25 GPU NVIDIA, coprendo le architetture da Ampere ad Ada Lovelace. Solo alcune hanno mostrato segni di vulnerabilità. Le due confermate sono la GeForce RTX 3060 (Ampere), sulla quale sono stati osservati 1.171 bit-flip, e la RTX 6000 Ada (Ada Lovelace), con 202 bit-flip. GPUBreach è stato valutato su una NVIDIA RTX A6000, una GPU workstation con GDDR6 e supporto ECC; i ricercatori suggeriscono che anche la RTX 3060 dovrebbe risultare interessata.
Nessuna GPU con memoria GDDR6X o GDDR7 ha mostrato vulnerabilità nei test effettuati finora, sebbene il campione testato resti limitato. Come ha osservato un commentatore nella discussione su Hacker News, le schede note come vulnerabili sono quelle effettivamente testate - l'attacco «molto probabilmente funziona sulla maggior parte o su tutte» le GPU con GDDR6 standard.
Il profilo di rischio immediato punta ai datacenter più che al mercato consumer. Le GPU workstation e server gestiscono pipeline di inferenza ML, carichi di lavoro HPC e operazioni sensibili dove una compromissione silenziosa avrebbe conseguenze serie. Le schede consumer non sono però fuori dall'equazione.
Contromisure: ECC e IOMMU non bastano
Le due difese più ovvie - IOMMU ed ECC - hanno entrambe limiti significativi in questo scenario.
IOMMU viene aggirato da GPUBreach. Resta una protezione utile contro GDDRHammer e GeForge, ma non regge contro la variante più avanzata. NVIDIA raccomanda comunque di mantenerlo attivo.
ECC su GPU NVIDIA può essere abilitato tramite riga di comando. I codici di correzione degli errori neutralizzano alcuni bit-flip, ma gli autori di GPUBreach dichiarano esplicitamente che non si tratta di una soluzione completa. Abilitare ECC riduce la memoria video utilizzabile e introduce un calo di prestazioni - un compromesso poco appetibile sui carichi di lavoro ML, dove ogni gigabyte conta. Le GPU consumer GeForce e i modelli per laptop in genere non espongono nemmeno l'opzione.
NVIDIA raccomanda l'attivazione dell'ECC a livello di sistema dove disponibile, ma in assenza di patch firmware o modifiche architetturali alla gestione della memoria GDDR6, le opzioni di mitigazione restano parziali.
Perché conta
Negli ultimi anni le GPU sono diventate componenti centrali in ambiti dove la sicurezza è critica: inferenza di modelli di linguaggio, elaborazione di dati sensibili, accelerazione crittografica. Un attacco che trasforma «piccole scritture nella memoria GPU in accesso alla memoria CPU» - come l'ha sintetizzato un ricercatore - ridisegna la superficie di attacco di qualsiasi sistema che affida lavoro computazionale a una scheda grafica.
La memoria GPU ha storicamente ricevuto molta meno attenzione rispetto alla RAM di sistema sotto il profilo della sicurezza hardware. GPUBreach e i suoi predecessori dimostrano che questa asimmetria è un debito tecnico che sta arrivando al saldo. I test proseguono su altre schede, il paper completo non è ancora pubblicato - ma il messaggio è già chiaro: se il vostro modello di minaccia include hardware sotto pressione, la GDDR6 è entrata nella lista delle superfici da sorvegliare.
