We delen de TEE: een aanval die alle gegevens uit 8 vertrouwelijke computersystemen haalt door één veld in de metadata-header van LUKS2 te wijzigen 🧵 (CVE-2025-59054 en CVE-2025-58356)

LUKS2 slaat zijn versleutelingsconfiguratie op in een JSON-header op de schijf zelf. Een aanvaller met schrijfrechten verandert "aes-xts-plain64" in "cipher_null-ecb", wat niets doet. De CVM start op alsof de schijf nog steeds versleuteld was.

CVE-2025-59054 en CVE-2025-58356 beïnvloeden LUKS2-schijfversleuteling in vertrouwelijke VM's van Oasis, Phala, Flashbots, Secret Network, Fortanix, Edgeless en Cosmian. Alle 8 getroffen projecten zijn nu gepatcht.

De oplossing: valideer headers voordat je ze gebruikt.

Als je vertrouwelijke computersystemen bouwt en soortgelijke valkuilen wilt vermijden, neem dan contact met ons op voor een gratis uur spreekuur met onze ingenieurs: