Estamos revelando el TEE: un ataque que extrae todos los datos de 8 sistemas de computación confidencial al cambiar un campo en el encabezado de metadatos de LUKS2 🧵 (CVE-2025-59054 y CVE-2025-58356)

LUKS2 almacena su configuración de cifrado en un encabezado JSON en el propio disco. Un atacante con acceso de escritura cambia "aes-xts-plain64" a "cipher_null-ecb", lo que no hace nada. El CVM arranca como si el disco aún estuviera cifrado.

CVE-2025-59054 y CVE-2025-58356 afectan la encriptación de disco LUKS2 en VMs confidenciales de Oasis, Phala, Flashbots, Secret Network, Fortanix, Edgeless y Cosmian. Todos los 8 proyectos afectados ya están parcheados.

La solución: valida los encabezados antes de usarlos.

Si estás construyendo sistemas de computación confidencial y quieres evitar errores similares, contáctanos para una hora de consulta gratuita con nuestros ingenieros: