Sikkerhetsmiljøet har lenge kjent til Rowhammer som en farlig klasse av maskinvareangrep rettet mot CPU-tilknyttet DDR-minne. Nå dokumenterer forskere fra University of Toronto at lignende teknikker fungerer mot GDDR6-minne i Nvidia-GPUer – med potensielt alvorlige konsekvenser for datasentre og skyplattformer over hele verden.
To angrepsmetoder – én felles trussel
De to nye angrepsvariantene kalles GDDRHammer (også omtalt som GPUHammer) og GeForge. Begge metoder manipulerer GPU-minnet på en måte som til slutt kompromitterer CPU-en og hele vertsmaskinen, ifølge Ars Technica.
Rowhammer-prinsippet er kjent: ved å hamre gjentatte lese- eller skriveoperasjoner mot bestemte minneceller i DRAM kan elektrisk interferens forårsake såkalte bit-flips i naboceller – der en lagret 0 plutselig blir en 1, eller omvendt. Selv om dette i teorien har vært kjent for CPU-minne i mange år, er det nå altså demonstrert praktisk gjennomførbart mot GDDR6 i GPU-er.
Forskerne utførte angrepet på en Nvidia RTX A6000 (48 GB GDDR6) uten aktivert ECC-beskyttelse, og observerte opptil åtte separate bit-flips fordelt på fire DRAM-banker. Minimumsantallet aktiviseringer for å utløse en flip var omtrent 12 000, ifølge forskningsdokumentasjonen.
En enkelt bit-flip kan degradere en AI-modells nøyaktighet fra 80 % til under én prosent.
Konsekvenser: Fra datakorrupsjon til privilegieskalering
For AI- og maskinlæringsarbeidsbelastninger er konsekvensene potensielt dramatiske. Én bit-flip kan ifølge forskningsmaterialet være nok til å kollapse ytelsen i en trent modell – noe som i praktiske angrepsscenarier kan bety sabotasje av kritiske inferenssystemer.
Utover modellkorrupsjon kan vellykkede angrep resultere i:
- Denial-of-service mot GPU-akselererte arbeidsbelastninger
- Datatap og korrupsjon i sensitive beregninger
- Privilegieskalering, som i verste fall gir angriperen full kontroll over vertsmaskinen
Nvidia anbefaler ECC – men det koster ytelse
Nvidas primære anbefaling er klar: aktiver System-Level Error-Correcting Code (ECC) på berørte produkter. ECC legger til redundante bits i minneoperasjoner og korrigerer automatisk enkelt-bit-feil før de rekker å gjøre skade.
ECC kan aktiveres via kommandolinjeverktøyet nvidia-smi, eller administreres ute-av-båndet gjennom BMC og Redfish API for serverinstallasjoner.
Nyere arkitekturer som Blackwell RTX 50-serien og visse Hopper-baserte datasentergrafikkort leveres med innebygd on-die ECC og krever ingen brukerinnstillinger. For eldre generasjoner – inkludert Volta (V100), Turing, Ampere og Ada – må ECC aktiveres manuelt.
Ekspertene: Ikke enkelt å utnytte, men reelt
Johannes Ullrich ved SANS Institute understreker at Rowhammer-angrep ikke er trivielle å gjennomføre, og at de mest sannsynlig vil forekomme i "svært målrettede angrep" snarere enn bredt utnyttede eksploits. Han påpeker likevel at ethvert system som bruker moderne DDR-minne teknisk sett er potensielt sårbart for Rowhammer, og at ansvaret i skymiljøer typisk hviler på skyleverandørene.
Det betyr at angrepsoverflaten, selv om den er smal, er reell – og at datasenteret og skynivå er der trusselen treffer hardest.
Hva bør systemadministratorer gjøre?
For virksomheter som drifter Nvidia GPU-er i datasentre eller skrivebordsstasjoner, bør følgende vurderes umiddelbart:
nvidia-smi eller via BMC/Redfish APINvidia bekrefter at de har adressert problemstillingen og peker på ECC som tilstrekkelig mottiltak for berørte produkter.