UNC Chapel Hill ve Georgia Tech ekibinin öncülük ettiği iki yeni çalışma, GDDR6 bellek kullanan Nvidia GPU’larda Rowhammer tekniğiyle GPU sayfa tablolarının bozulabildiğini ve buradan ana makinenin RAM’ine uzanarak Linux’ta root yetkisine kadar çıkılabildiğini gösterdi. Ekipler saldırılarını GDDRHammer ve GeForge olarak adlandırıyor; her ikisi de ayrı araştırmalar olmasına rağmen sonuç aynı: Ayrıcalıksız bir GPU çekirdeği üzerinden CPU belleğine tam okuma-yazma erişimi. Bu bulgular, 2025’teki University of Toronto imzalı GPUHammer çalışmasının çok ötesine geçiyor çünkü artık yalnızca model doğruluğunu bozmakla kalmayıp tüm sistemi ele geçirme seviyesine ulaşılıyor.
Kısaca hatırlatalım: Rowhammer, bir bellek satırını çok hızlı şekilde “tokatlayarak” komşu satırlarda tekil bit çevirmeleri (bit flip) oluşturan donanımsal bir açık. Yıllardır DDR belleklerde tartışılıyordu; şimdi ilk kez GDDR6 tarafında, üstelik pratik saldırılarla CPU belleğine köprü kurarak kullanıldığı görülüyor.
Yeni çalışmalarda temel fikir, GPU’nun GDDR6 VRAM’inde bit çevirmeleri üreterek sayfa tablolarını hedef almak. GDDRHammer, varsayılan bellek ayırıcısındaki (cudaMalloc) zayıflıktan yararlanıp kullanıcı verisiyle sayfa tablolarının yalıtımını kırabiliyor; uygun bite denk getirilen tek bir değişiklik, GPU’nun kendi çevirilerini CPU belleğine yönlendirebiliyor. GeForge ise sayfa dizinlerini (PD0) hedefleyip benzer sonuca gidiyor. Kamuya açık demolar, bu yolla root kabuğu açılabildiğini net şekilde gösteriyor.
Testler geniş: Araştırmacılar Ampere ve Ada 6000 sınıfları dâhil 25 GDDR6 GPU’yu karakterize etti. Yayınlanan sonuçlarda GeForce RTX 3060’ın 1.171, RTX A6000’ın 202 bit çevirme ürettiği raporlanıyor. Çoğu GDDR6 kartta zafiyet belirtileri saptanırken, ilk bulgular GDDR6X ve GDDR7 kullanan yeni kartlarda aynı tekniğin şimdilik çalışmadığı yönünde. Veri merkezinde kullanılan A100/H100 gibi HBM bellekli modellerdeyse dahili ECC’nin tekil bit çevirmelerini maskelediği, bu yüzden pratik bir etki görülmediği belirtiliyor.
Bu gelişmeler, 2025’te tanıtılan GPUHammer’dan önemli bir fark taşıyor. GPUHammer, RTX A6000’ın GDDR6 belleğinde bit çevirmeleri kanıtlamış ve tek bir bit ile derin öğrenme modellerinin doğruluğunu yüzde 80’den yüzde 0,1’e düşürebilmişti. Yeni GDDRHammer/GeForge ise yalnızca model bozmakla kalmıyor; GPU sayfa tablolarını manipüle ederek CPU RAM’ine uzanan yetki devralımına kapı açıyor.
Kimler etkileniyor, ne yapmalı?
- Etkilenenler: GDDR6 kullanan çok sayıda Nvidia kartı. Kamuya açık gösterimler RTX 3060 ve RTX A6000 üzerinde yapıldı. Kurumsal ortamlarda çok kullanıcı GPGPU/AI iş yükleri özellikle riskli.
- Şimdilik etkilenmeyenler: GDDR6X/GDDR7 kullanan yeni kartlar ve HBM’li A100/H100 gibi modellerde pratik saldırı gösterilmedi. Ancak bu durum “tam bağışıklık” anlamına gelmiyor; gelecekte çoklu-bit desenler ECC’yi aşabilir.
- GeForge notu: IOMMU kapalıysa, GPU’dan CPU belleğine geçiş mümkün. IOMMU’yu BIOS’ta etkinleştirmek bu köprüyü kesiyor ve en güçlü savunmalardan biri.
- ECC önerisi: Nvidia’nın 2025 uyarısında da vurgulandığı gibi ECC’yi açmak (ör. `nvidia-smi -e 1`) tekil bit çevirmelerini düzelterek riski düşürüyor. Performansta yaklaşık yüzde 10’a varan düşüş ve kapasitede yüzde 6,25 kayıp yaşanabiliyor.
Özetle: GDDR6 tabanlı Rowhammer artık laboratuvar merakından çıkıp sistem seviyesinde sonuçlar üretiyor. AI/ML kümeleri, paylaşımlı iş istasyonları ve container’lı altyapılar ivedilikle ECC ve IOMMU kontrollerini gözden geçirmeli; sürücüler ile donanım yapılandırmaları dokümante edilip izlenmeli. Yeni iki çalışma, GPU belleğiyle CPU belleği arasındaki sınırın sandığımızdan daha geçirgen olabildiğini net şekilde ortaya koyuyor.
Kaynak: www.techspot.com