Un atac nou NetCAT permite hackerilor să obțină de la distanță date din procesoarele Intel

Spre deosebire de vulnerabilitățile anterioare descoperite în procesoarele Intel, cercetătorii în domeniul securității cibernetice au descoperit un nou defect care poate fi exploatat de la distanță prin rețea, fără a fi nevoie ca un atacator să aibă acces fizic sau un malware instalat pe computerul vizat.

Acest lucru restrânge foarte mult capacitatea de identificare a problemei și posibilitatea echipelor de intervenție și reacție rapidă la incidentele de securitate cibernetică, dat fiind faptul că existența unor artefacte pe sistemele infectate devine relativ limitată.

Cunoscută sub denumirea NetCAT (Network Cache ATack), noua vulnerabilitate ar putea permite unui atacator să identifice date și informații sensibile de la distanță, cum ar fi parola SSH a unui utilizator regăsită în memoria cache a procesorului Intel.

Descoperită de o echipă de cercetători în domeniul securității cibernetice din cadrul Universității Vrije din Amsterdam, vulnerabilitatea, înscrisă drept CVE-2019-11184, persistă în cadrul unei caracteristici de optimizare a performanței numită DDIO Intel (prescurtare pentru Data-Direct I/O). Prin proiectare, aceasta oferă dispozitivelor de rețea (cât și altor sisteme periferice) acces la memoria cache a procesorului.

Tehnologia DDIO este activată în mod implicit pe toate procesoarele Intel de tip server grade începând cu anul 2012, inclusiv pe familiile Intel Xeon E5, E7 și SP.

Potrivit cercetătorilor, atacul NetCAT funcționează în mod similar cu Throwhammer, un alt binecunoscut tip de atac, trimițând exclusiv pachete special concepute în rețea către un computer vizat care are activată funcția RDMA (Remote Direct Memory Access).

Funcția RDMA permite atacatorilor să analizeze sistemele periferice ale serverului de la distanță, precum sunt cardurile de rețea, reușind totodată să observe diferența de timp între transmiterea unui pachet în rețea care este trimis din memoria cache de la distanță a procesorului versus un pachet trimis din memorie.

Ideea de bază din spatele vulnerabilității este de a efectua o analiză de tastare (keystroke timing analysis) pentru a recupera cuvintele tastate de o victimă folosind un algoritm bazat pe învățare automată în raport cu informațiile referitoare la timp.

Într-o sesiune SSH interactivă, de fiecare dată când o tastă este apăsată, pachetele sunt trasmise direct în rețea. Drept urmare, de fiecare dată când o victimă introduce un caracter nou într-o sesiune criptată SSH, NetCAT poate oferi date privind timpul evenimentului, prin furnizarea orei la care pachetul trimis prin rețea ajunge la destinație.

Conform echipei din cadrul Universității Vrije, la momentul actual utilizatorii au tipuri diferite de scriere. Spre exemplu, identificarea tastei ‘s’ imdiat după un ‘a’ este mult mai rapidă decât scrierea unui ‘g’ după un ‘s’. Drept urmare, NetCAT poate realiza o analiză statistică a intervalelor de timp între sosirea pachetelor în ceea ce este cunoscut sub numele de atac asupra sesiunii private SSH.
În comparație cu un atacator local nativ, un atac NetCAT demarat în rețea reduce acuratețea tastărilor descoperite cu, în medie, 11.7% prin descoperirea pachetelor primite prin SSH cu o rată pozitivă reală de 85%.

Echipa VUSec a publicat, de asemenea, și un tutorial, prin care este expusă, într-un mod extrem de clar, metoda de spionare a sesiunilor SSH în timp real, fără a avea nevoie de orice altceva în afară de un server comun.

NetCAT devine, astfel, o nouă vulnerabilitate de tip side-channel care se alătură listei pe care se regăsesc vulnerabilitățile periculoase descoperite în ultimul an, precum sunt Meltdown și Spectre, TLBleed, SWAPGS, Foreshadow și PortSmash.

În recomandările de securitate expuse, Intel a recunoscut problema și le-a recomandat utilizatorilor fie să dezactiveze complet funcția DDIO, fie funcția RDMA, pentru a limita accesul direct către servere din partea unor rețele nesigure.

Comania a atribuit vulnerabilității NetCAT un grad de impact relativ scăzut, descriind-o drept o problemă de divulgare parțială a informațiilor. De asemenea, Intel a acordat o recompensă echipei VUSec pentru cercetărle efectuate.

Astfel, a fost remediată o vulnerabilitate care, în caz contrar, ar fi putut duce la obținerea de către atacatori a unor date și informații sensibile din cadrul companiilor care foloseau dizpozitive cu procesoare Intel. Obținerea accesului în cadrul serverului și a parolelor SSH sunt două elemente extrem de importante pentru hackeri, cu ajutorul cărora pot realiza adevărate incidente de securitate cibernetică.

Potrivit cercetătorilor din cadrul Universității Vrije din Amsterdam, această vulnerabilitate este acum soluționată. În acest fel, dispozitivele pot continua să fie utilizate fără actualizări aferente, ci doar cu precizarea aspectelor asupra uneia dintre cele două funcții: dezactivarea funcției DDIO sau a RDMA de către utilizatorii sau administratorii de rețea din cadrul companiilor. Ulterior, dezvăluirea parolelor SSH sau obținerea accesului în cadrul serverelor nu mai reprezintă o problemă.