PCIe 5.0 ve Üzeri Sistemlerde Üç Kritik IDE Zafiyeti Güvenliği Tehdit Ediyor

Saldırının Genel Çerçevesi

PCI Special Interest Group (PCI-SIG) tarafından açıklanan üç yeni şifreleme zafiyeti, PCIe 5.0 ve sonrası sistemlerde veri işleme süreçlerini tehlikeye atıyor. Bu kusurlar, PCIe IDE (Integrity and Data Encryption) protokolünde yer alan eksikliklerden kaynaklanıyor ve alıcı portlarda veri bütünlüğünün sağlanamaması nedeniyle eski veya hatalı verilerin işlenmesine yol açabiliyor. Zafiyetler, bilgi sızıntısı, ayrıcalık yükseltme ve hizmet reddi gibi kritik güvenlik sorunlarına zemin hazırlayabiliyor.

Hangi Sistemler Risk Altında?

Özellikle Intel Xeon 6 serisi P-çekirdekli işlemciler, Intel Xeon 6700P-B/6500P-B serisi SoC P-çekirdekli modeller ile AMD EPYC 9005 ve EPYC Embedded 9005 serisi işlemciler bu zafiyetlerden etkileniyor. Bu donanımlar, yüksek performanslı sunucu ve kurumsal altyapılarda yaygın olarak kullanılıyor. Zafiyetlerin istismarı için hedef sistemin PCIe IDE arayüzüne fiziksel veya düşük seviyeli erişim gerekmekte, bu nedenle saldırı vektörleri nispeten sınırlı ancak kritik önemde.

Saldırı Zinciri ve Teknik Detaylar

Üç zafiyetin detayları ve etkileri şu şekildedir:

• CVE-2025-9612 (Yasaklanmış IDE Yeniden Sıralama): Alıcı portta bütünlük kontrolünün eksik olması, PCIe trafiğinin yeniden sıralanmasına izin vererek eski verilerin işlenmesine neden olabilir.
• CVE-2025-9613 (Tamamlama Zaman Aşımı Yönlendirmesi): Tamamlanmamış zaman aşımı temizliği, saldırganın eşleşen etikete sahip paketler enjekte ederek alıcının yanlış verileri kabul etmesine yol açabilir.
• CVE-2025-9614 (Gecikmeli Gönderilen Yönlendirme): IDE akışının tam temizlenmemesi veya yeniden anahtarlanmaması, eski ve hatalı veri paketlerinin tüketilmesine sebep olur.

Bu zafiyetler, Trusted Domain Interface Security Protocol (TDISP) uygulayan sistemlerde güvenilir yürütme ortamları arasındaki izolasyonu ihlal edebilir. PCI-SIG, bu kusurların gizlilik, bütünlük ve güvenlik hedeflerini zayıflattığını belirtiyor ancak CVSS skorları (3.0 ve 1.8) nedeniyle düşük şiddette risk olarak sınıflandırılıyor.

Siber Güvenlik Ekipleri İçin Öneriler

PCIe IDE protokolündeki bu zafiyetler, özellikle hassas verilerin işlendiği kurumsal ortamlarda risk oluşturuyor. Güvenlik ekipleri için öneriler şunlardır:

• İlgili donanım üreticilerinin yayımladığı firmware ve BIOS güncellemelerini derhal uygulayın.
• PCIe 6.0 standardına uygun güncellemeleri ve Erratum #1 rehberliğini takip ederek IDE uygulamalarını güncelleyin.
• PCIe IDE arayüzüne erişimi fiziksel ve yazılımsal olarak kısıtlayacak ağ segmentasyonu ve erişim kontrol politikaları oluşturun.
• EDR ve SIEM sistemlerinde PCIe IDE ile ilgili anormal trafik ve yeniden sıralama olaylarını izlemek için özel kurallar geliştirin.
• Olay müdahale süreçlerinde PCIe protokolü tabanlı saldırı senaryolarını dahil edin ve test edin.
• Zero Trust mimarisi kapsamında donanım seviyesinde güvenlik izolasyonunu güçlendirin.
• Loglama sistemlerinde PCIe IDE trafiği ve hata kayıtlarını detaylı şekilde tutun.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, yüksek performanslı bir finans kurumunda kullanılan Intel Xeon 6 serisi işlemcilerle donatılmış sunucularda, PCIe IDE zafiyetleri kötü niyetli bir iç tehdit aktörü tarafından fiziksel erişim sağlanması durumunda, hassas finansal verilerin bütünlüğü tehlikeye girebilir. Bu durum, veri manipülasyonu veya yetkisiz veri erişimi ile sonuçlanabilir. Kurumun e-posta güvenliği ve ağ segmentasyonu önlemleri bu tür saldırıların yayılmasını engellemede kritik rol oynar.

Son raporlar, üreticilerin güncellemeler yayınladığını ve CERT Coordination Center (CERT/CC) tarafından da bu yamaların uygulanmasının zorunlu hale getirildiğini gösteriyor. Son kullanıcılar ve kurumlar, PCIe IDE kullanan sistemlerinde güncellemeleri takip etmeli ve güvenlik politikalarını bu yeni tehditlere göre güncellemelidir.