Исследователи представили атаку Fabricked, которая позволяет полностью сломать защиту AMD SEV-SNP. Уязвимость, официально присвоенная идентификатор CVE-2025-54510, реализуется путем манипуляций с маршрутизацией памяти в Infinity Fabric. Стандартные облачные среды часто вынуждают клиентов доверять провайдеру, но технология конфиденциальных вычислений пытается исправить это. Для этого AMD внедрила SEV-SNP, позволяющую создавать конфиденциальные виртуальные машины (CVM), где данные в процессе использования надежно изолированы от хоста. Архитектура современных чипов AMD строится на модулях (chiplets), которые соединяются высокоскоростным интерфейсом Infinity Fabric. Он управляет переносом данных и адресацией между ядрами CPU, контроллерами памяти и периферией. Во время каждого запуска системы прошивка UEFI или BIOS должна настраивать этот интерфейс динамически, так как конфигурация платформ разная.
Проблема заключается в том, что в модели угроз для конфиденциальных вычислений доверие к UEFI отсутствует. Злоумышленник управляет провайдером облака и имеет доступ к UEFI. В проекте Fabricked исследователи обнаружили, что именно UEFI отвечает за блокировку части конфигурации Infinity Fabric. Атакующий может изменить UEFI и пропустить специальные API-вызовы, которые обычно закрепляют настройки. Это оставляет маршрутизацию интерфейса настраиваемой даже после активации SEV-SNP. Злоумышленник в виде вредоносного гипервизора может перенаправить транзакции с памятью DRAM. Поскольку Infinity Fabric соединяет не только ядра процессора, но и безопасный сопроцессор PSP с оперативной памятью, можно повлиять на операции чтения и записи PSP.
Атака фокусируется на этапе инициализации SEV-SNP. В этот момент PSP создает критическую структуру данных — RMP, которая задает правила доступа к памяти CVM. Во время настройки PSP выполняет записи в DRAM. Если атакующий заранее неправильно настроит маршрутизацию Infinity Fabric, он может отбросить эти записи. В результате структура RMP остается незаинициализированной, сохраняя небезопасные значения по умолчанию, установленные гипervisором. Суть атаки в том, что злоумышленник подделывает успешную инициализацию SEV-SNP, когда на самом деле защита отключена. Когда жертва запускает CVM на такой платформе, гипервизор получает прямой доступ к их памяти. Механизм защиты становится бесполезным.
Это программная атака с гарантированным успехом в 100%, не требующая физического доступа к железу или кода внутри жертвенной виртуальной машины. Уязвимость подтверждена на процессорах AMD Zen 5 EPYC с SEV-SNP, но совет AMD по обновлениям固件 охватывает также Zen 3 и Zen 4, где наблюдаются аналогичные проблемы. Ответственная раскрывательная информация поступила в AMD 3 августа 2025 года, а публикация произошла после согласования эмбарго, закончившегося 14 апреля 2026 года. Атака относится к классу XCA, так как нарушает гарантии безопасности через изменение межсоединения. В отличие от BreakFAST, который влияет на контрольную шину, Fabricked нацелен на IOMS и блокирует записи PSP в память DRAM. Атака не работает на Intel TDX или Arm CCA, но подобные уязвимости уже найдены внутри Intel (INTEL-SA-00960). SEV и SEV-ES считаются небезопасными по своей природе и не гарантируют целостность гостевой системы, поэтому исследование затронуло только SEV-SNP.