Estamos derramando el TEE: un ataque que extrae todos los datos de 8 sistemas informáticos confidenciales cambiando un campo en el encabezado 🧵 de metadatos de LUKS2 (CVE-2025-59054 y CVE-2025-58356)

LUKS2 almacena su configuración de cifrado en un encabezado JSON en el propio disco. Un atacante con acceso de escritura cambia "aes-xts-plain64" por "cipher_null-ecb", que no hace nada. El CVM arranca como si el disco todavía estuviera cifrado.

CVE-2025-59054 y CVE-2025-58356 afectan al cifrado de disco LUKS2 en máquinas virtuales confidenciales de Oasis, Phala, Flashbots, Secret Network, Fortanix, Edgeless y Cosmian. Los 8 proyectos afectados ahora están parcheados.

La solución: validar los encabezados antes de usarlos.

Si está construyendo sistemas informáticos confidenciales y desea evitar armas similares, contáctenos para un horario de oficina gratuito de una hora con nuestros ingenieros: