简介 

    苏黎世联邦理工学院研究团队披露了一个被命名为RMPocalypse的关键漏洞（CVE-2025-0033），该漏洞存在于AMD安全加密虚拟化-安全嵌套分页（SEV-SNP）技术中，允许攻击者完全绕过虚拟机加密保护，导致加密虚拟机的内存数据被非授权访问，严重威胁云服务提供商和企业私有云环境中依赖硬件加密的虚拟机安全。

核心详情 

    RMPocalypse漏洞源于AMD SEV-SNP技术中反向映射表（RMP）的权限验证缺陷，攻击者可通过精心构造的恶意分页表条目，利用RMP条目与嵌套分页的交互逻辑错误，实现虚拟机内存的越界读写，从而提取敏感加密密钥或直接篡改虚拟机状态。该漏洞由苏黎世联邦理工学院计算机安全团队在系统性硬件安全测试中发现，并已通过概念验证代码验证其攻击可行性，影响所有支持SEV-SNP的AMD EPYC处理器系列，包括Milan、Genoa等主流服务器平台，凸显了硬件辅助虚拟化技术在复杂攻击面下的潜在风险。

适用范围  

    本内容适用于云服务提供商运维团队、企业IT安全管理员、虚拟化基础设施开发人员，以及任何在AMD EPYC平台上部署SEV-SNP加密虚拟机的生产环境或开发测试场景，特别是处理敏感数据（如金融交易、医疗记录）的多租户云架构。

推荐措施 

    1、立即检查AMD官方安全公告并应用针对CVE-2025-0033的微码更新或固件补丁；隔离受影响虚拟机并监控异常内存访问模式。

    2、参考NIST SP 800-125B虚拟化安全指南强化隔离控制；在补丁部署前可临时禁用SEV-SNP功能，并通过网络分段限制虚拟机间通信。