Механизм повышения производительности процессоров Intel под названием Direct Data I/O (DDIO) оказался связан с критической уязвимостью NetCAT, которая позволяет злоумышленникам перехватывать нажатия клавиш во время подключения по SSH.
Уязвимость обнаружили исследователи в сфере кибербезопасности из Vrije Universiteit Amsterdam и ETH Zurich. Они опубликовали работу, в которой описали найденную ими критическую уязвимость NetCAT (сокращенно от Network Cache Attack), которая оказалась возможна благодаря поддержке Data-Direct I/O Technology.
При помощи этой технологии периферийные устройства могут получить прямой доступ для записи данных в кэш процессора вместо оперативной памяти. Этот механизм полезен для работы крупных дата-центров, где оперативной памяти может не хватать. Функция DDIO по умолчанию включена на всех серверных процессорах Intel (включая Intel Xeon E5, E7 и SP) с 2012 года.
Исследователи выяснили, что полезная функция может оказаться на руку злоумышленникам. Они разработали атаку NetCAT, которая помогает перехватывать нажатия клавиш.
Благодаря данной уязвимости злоумышленники могут при использовании взломанных серверов красть данные со всех компьютеров в локальной сети.
Ещё серьёзней эта уязвимость проявляется в центрах обработки данных, где используется не только DDIO, но и RDMA (удаленный прямой доступ к памяти). При использовании этого механизма только один взломанный сервер может угрожать целой сети.
«Несмотря на то, что у NetCAT большой потенциал даже по самым минимальным прикидкам, мы полагаем, что [сейчас] сняли лишь верхний слой возможностей сетевых атак на кэш, и ожидаем подобных атак на основе NetCAT в будущем», — говорят исследователи.
Они также полагают, что в будущем атаки могут привести к краже данных, даже когда RDMA не включен. А производителям оборудования советуют позаботиться о защите улучшений микроархитектуры, прежде чем вводить их в миллиарды реальных серверов.
Компания Intel прислушалась к специалистам и уже попросила владельцев систем на процессорах Xeon отключить DDIO и RDMA на машинах с доступом к ненадежным сетям. Сейчас эксперты компании работают над исправлением, которое должно устранить уязвимость.
В то же время, как утверждает издание ArsTechnica, пользователи должны помнить, что в ближайшее время атаки, протестированные исследователями, вряд ли станут широко распространены в реальном мире.
«NetCAT — сложная атака и для большинства злоумышленников она будет посложнее, чем сорвать яблоко с ветки, — приводит ArsTechnica комментарий Каве Разави, одного из исследователей Vrije Universiteit. — В настройках сервера с ненадежными клиентами, где безопасность важнее, чем производительность, мы рекомендуем отключить DDIO».
Комментарии (9)
deepform
11.09.2019 19:32+2Мне кажется, что слишком уж лабораторные условия нужны, для того, чтоб воспользоваться уязвимостями
edo1h
12.09.2019 13:06помимо этого, если я правильно понял, речь идёт лишь об утечке таймингов пакетов (которые сами по себе большой тайной не являются — любой провайдер имеет к ним доступ)
juramehanik
11.09.2019 19:54+2Господа, запомните: в наше время если вы придумали/нашли новую сущность (торговая марка, название группы или название уязвимости) и желаете ее как-то обозвать, ОБЯЗАТЕЛЬНО проверьте в гугле, не занято ли это имя собственное.
Я до конца статьи не мог понять, то ли это в NetCAT CMS баг, то ли в netcat.saege5b
12.09.2019 09:07Мне кажется, что большинство берут понравившуюся абривиатуру, и к ней придумывают логичную расшифровку.
eumorozov
12.09.2019 09:35В Unix гораздо дольше существует утилита netcat (nc) для работы с сокетами. Довольно удобная и распространенная вещь, именно о ней сразу и вспоминаешь, когда видишь такое название.
alexey_girin
12.09.2019 12:14Intel is in trouble
CaptainFlint
12.09.2019 12:39— Leeloo's in trouble?
«The Fifth Element»
— When is Leeloo not in trouble?
0xf0a00
Атата… очередной гроб в крышку. Причем этот еще больше чем предыдущие.