Araştırmacılar, Intel işlemciler tarafından desteklenen cihazlardan hassas verileri çalmak için kullanılabilecek başka bir yan kanal saldırı yöntemi keşfetti.
NetCAT (Network Cache ATtack) adı verilen yeni saldırı, VU Amsterdam’daki Sistem ve Ağ Güvenliği Grubu üyeleri tarafından tespit edildi. CVE-2019-11184 olarak tanımlanan saldırıyı mümkün kılan güvenlik açığı, Intel’in Data Direct I / O ( DDIO ) teknolojisi ile ilgilidir.
Tüm Intel Xeon E5 ve E7 v2 sunucu işlemcileri için varsayılan olarak etkinleştirilen bir özellik olan DDIO, performansı artırmak ve güç tüketimini azaltmak için tasarlanmıştır ve ağ aygıtlarının CPU önbelleğine erişmesini sağlar.
VU Amsterdam araştırmacıları, DDIO’nun – özellikle Uzaktan Doğrudan Bellek Erişimi (RDMA) teknolojisi de etkinleştirildiğinde – – uzak bir saldırganın özel hazırlanmış ağ paketleri göndererek etkilenen bir sunucudan veri almasına izin verdiğini göstermiştir.
NetCAT saldırısı, uzak sunucuda veya istemcide herhangi bir kötü amaçlı yazılımın yürütülmesini gerektirmez ve uzmanlar, bir SSH oturumundan tuş vuruşlarını çalmak için nasıl kullanılabileceğini göstermiştir.
Araştırmacılar, “Etkileşimli bir SSH oturumunda, bir tuşa her basışınızda, ağ paketleri doğrudan iletiliyor” dedi. “Sonuç olarak, konsolunuzda şifreli bir SSH oturumunun içine her bir karakter yazdığınızda, NetCAT olayın zamanlamasını ilgili ağ paketinin varış zamanını sızdırabilir. İnsanların farklı yazma şekilleri vardır. Örneğin, ‘a’dan hemen sonra ‘s’ yazmak ‘s’den sonra ‘g’ yazmaktan daha hızlıdır. Sonuç olarak, NetCAT, özel SSH oturumunuzda yazdıklarınızı sızdırmak için tuş vuruşu zamanlama atağı olarak bilinen paketlerin geliş zamanlamalarının statik analizini gerçekleştirebilir.”
RDMA, saldırının “hedef sunucudaki ağ paketlerinin göreceli bellek konumunu hassas olarak kontrol etmesine izin verdiği için saldırıyı daha verimli hale getiriyor.
Araştırmacılar tarafından açıklanan bir saldırı senaryosunda, “Saldırgan, RDMA üzerinden DDIO’yu destekleyen bir uygulama sunucusuna ve ayrıca bir kurban istemciden gelen ağ isteklerini sunan bir makineyi kontrol eder. NetCAT, saldırganların ağ kartları gibi uzak sunucu tarafındaki çevre birimlerini başarıyla gözetleyebileceğini ve kurban verilerini ağ üzerinden sızdırabileceğini gösteriyor.”
Araştırmacılara göre, saldırıları hafifletmenin en etkili yolu, güvenilmeyen ağlarda saldırıları zorlaştırmak için DDIO’yu veya en azından RDMA’yı devre dışı bırakmak.
Intel , Salı günü bu güvenlik açığı için bir danışma belgesi yayınladı . Şirket bu açığı “düşük” bir önem derecesine atadı ve bunu kısmi bilgi açıklama sorunu olarak nitelendirdi.
Araştırmacılar bulgularını Haziran ayında Intel’e bildirdiklerini ve yonga üreticisinin onlara bir ödül verdiğini, ancak miktarı açıklamadıklarını söyledi.
Intel, DDIO ve RDMA etkinleştirildiğinde, güvenilmeyen ağlardan doğrudan erişimi sınırlandırarak ve sabit zamanlı stil kodu ile zamanlama saldırılarına dirençli yazılım modülleri kullanarak müşterilere olası saldırıları önlemelerini tavsiye etti. Bununla birlikte, araştırmacılar önerilen ikinci azaltma yöntemi ile tamamen aynı fikirde değildir.
“Ağ kartı önbellekte farklı desenler oluşturduğu sürece, NetCAT uzak sunucuda çalışan yazılımdan bağımsız olarak etkili olacaktır. Bununla birlikte, Intel’in yan kanala dirençli yazılım dağıtma önerisi, DDIO özellikli makinelerde kurban yazılımını hedef alan gelecekteki NetCAT benzeri saldırılara karşı yararlı olabilir.” dediler.
Ocak 2018’de Meltdown ve Spectre güvenlik açıklarının açıklanmasından bu yana, araştırmacılar Intel işlemcileri etkileyen yeni yan kanal saldırı yöntemleri bulmaya devam ettiler. En son çıkanlardan bazıları SWAPGS , ZombieLoad, RIDL ve Fallout’tur .
