Механизм повышения производительности процессоров Intel под названием Direct Data I/O (DDIO) оказался связан с критической уязвимостью NetCAT, которая позволяет злоумышленникам перехватывать нажатия клавиш во время подключения по SSH.

Уязвимость обнаружили исследователи в сфере кибербезопасности из Vrije Universiteit Amsterdam и ETH Zurich. Они опубликовали работу, в которой описали найденную ими критическую уязвимость NetCAT (сокращенно от Network Cache Attack), которая оказалась возможна благодаря поддержке Data-Direct I/O Technology.

При помощи этой технологии периферийные устройства могут получить прямой доступ для записи данных в кэш процессора вместо оперативной памяти. Этот механизм полезен для работы крупных дата-центров, где оперативной памяти может не хватать. Функция DDIO по умолчанию включена на всех серверных процессорах Intel (включая Intel Xeon E5, E7 и SP) с 2012 года.

Исследователи выяснили, что полезная функция может оказаться на руку злоумышленникам. Они разработали атаку NetCAT, которая помогает перехватывать нажатия клавиш.

Благодаря данной уязвимости злоумышленники могут при использовании взломанных серверов красть данные со всех компьютеров в локальной сети.
Ещё серьёзней эта уязвимость проявляется в центрах обработки данных, где используется не только DDIO, но и RDMA (удаленный прямой доступ к памяти). При использовании этого механизма только один взломанный сервер может угрожать целой сети.

«Несмотря на то, что у NetCAT большой потенциал даже по самым минимальным прикидкам, мы полагаем, что [сейчас] сняли лишь верхний слой возможностей сетевых атак на кэш, и ожидаем подобных атак на основе NetCAT в будущем», — говорят исследователи.

Они также полагают, что в будущем атаки могут привести к краже данных, даже когда RDMA не включен. А производителям оборудования советуют позаботиться о защите улучшений микроархитектуры, прежде чем вводить их в миллиарды реальных серверов.

Компания Intel прислушалась к специалистам и уже попросила владельцев систем на процессорах Xeon отключить DDIO и RDMA на машинах с доступом к ненадежным сетям. Сейчас эксперты компании работают над исправлением, которое должно устранить уязвимость.
В то же время, как утверждает издание ArsTechnica, пользователи должны помнить, что в ближайшее время атаки, протестированные исследователями, вряд ли станут широко распространены в реальном мире.

«NetCAT — сложная атака и для большинства злоумышленников она будет посложнее, чем сорвать яблоко с ветки, — приводит ArsTechnica комментарий Каве Разави, одного из исследователей Vrije Universiteit. — В настройках сервера с ненадежными клиентами, где безопасность важнее, чем производительность, мы рекомендуем отключить DDIO».

Комментарии (9)


  1. 0xf0a00
    11.09.2019 19:25
    -5

    Атата… очередной гроб в крышку. Причем этот еще больше чем предыдущие.


  1. deepform
    11.09.2019 19:32
    +2

    Мне кажется, что слишком уж лабораторные условия нужны, для того, чтоб воспользоваться уязвимостями


    1. edo1h
      12.09.2019 13:06

      помимо этого, если я правильно понял, речь идёт лишь об утечке таймингов пакетов (которые сами по себе большой тайной не являются — любой провайдер имеет к ним доступ)


  1. juramehanik
    11.09.2019 19:54
    +2

    Господа, запомните: в наше время если вы придумали/нашли новую сущность (торговая марка, название группы или название уязвимости) и желаете ее как-то обозвать, ОБЯЗАТЕЛЬНО проверьте в гугле, не занято ли это имя собственное.
    Я до конца статьи не мог понять, то ли это в NetCAT CMS баг, то ли в netcat.


    1. saege5b
      12.09.2019 09:07

      Мне кажется, что большинство берут понравившуюся абривиатуру, и к ней придумывают логичную расшифровку.


    1. eumorozov
      12.09.2019 09:35

      В Unix гораздо дольше существует утилита netcat (nc) для работы с сокетами. Довольно удобная и распространенная вещь, именно о ней сразу и вспоминаешь, когда видишь такое название.


      1. glowingsword
        12.09.2019 12:23

        Именно о ней и подумал, когда прочитал название стать :)


  1. alexey_girin
    12.09.2019 12:14

    Intel is in trouble


    1. CaptainFlint
      12.09.2019 12:39

      — Leeloo's in trouble?
      — When is Leeloo not in trouble?
      «The Fifth Element»