A diferencia de las vulnerabilidades de canal lateral anteriores reveladas en las CPU de Intel, los investigadores han descubierto una nueva falla que se puede explotar de forma remota a través de la red sin requerir que un atacante tenga acceso físico o cualquier malware instalado en una computadora objetivo.
Doblado NetCATabreviatura de Network Cache ATtack, la nueva vulnerabilidad de canal lateral basada en la red podría permitir que un atacante remoto detecte datos confidenciales, como la contraseña SSH de alguien, del caché de la CPU de Intel.
Descubierta por un equipo de investigadores de seguridad de la Universidad Vrije en Amsterdam, la vulnerabilidad, rastreada como CVE-2019-11184, reside en una función de optimización del rendimiento llamada DDIO de Intel, abreviatura de E / S directa de datos, que por diseño otorga dispositivos de red y otros periféricos acceden a la memoria caché de la CPU.
El DDIO viene habilitado de forma predeterminada en todos los procesadores Intel de grado de servidor desde 2012, incluidas las familias Intel Xeon E5, E7 y SP.
Según los investigadores [paper]el ataque NetCAT funciona de manera similar a Throwhammer al enviar únicamente paquetes de red especialmente diseñados a una computadora objetivo que tiene habilitada la función de acceso directo a memoria remota (RDMA).
RDMA permite a los atacantes espiar periféricos remotos del lado del servidor, como tarjetas de red, y observar la diferencia de tiempo entre un paquete de red que se sirve desde la memoria caché del procesador remoto y un paquete servido desde la memoria.
Aquí, la idea es realizar un análisis de tiempo de pulsación de tecla para recuperar palabras escritas por una víctima utilizando un algoritmo de aprendizaje automático contra la información de tiempo.
«En una sesión SSH interactiva, cada vez que presiona una tecla, los paquetes de red se transmiten directamente. Como resultado, cada vez que una víctima escribe un carácter dentro de una sesión SSH cifrada en su consola, NetCAT puede filtrar el momento del evento. al filtrar la hora de llegada del paquete de red correspondiente”, explica el equipo de VUSec.
“Ahora, los humanos tienen distintos patrones de escritura. Por ejemplo, escribir ‘justo después’ y ‘es más rápido que escribir’ g ‘después’. Como resultado, NetCAT puede operar un análisis estático de los tiempos entre llegadas de los paquetes en lo que se conoce como un ataque de tiempo de pulsación de teclas para filtrar lo que escribe en su sesión SSH privada.
«En comparación con un atacante local nativo, el ataque de NetCAT desde toda la red solo reduce la precisión de las pulsaciones de teclas descubiertas en un promedio del 11,7 % al descubrir paquetes SSH entre llegadas con una tasa positiva real del 85 %».
El equipo de VUSec también ha publicado un video, como se muestra arriba, que demuestra un método para espiar sesiones SSH en tiempo real con nada más que un servidor compartido.
NetCAT se convierte en la nueva vulnerabilidad de canal lateral que se unió a la lista de otras vulnerabilidades peligrosas de canal lateral descubiertas el año pasado, incluidas Meltdown y Spectre, TLBleed, Foreshadow, SWAPGS y PortSmash.
En su aviso, Intel reconoció el problema y recomendó a los usuarios que deshabiliten completamente DDIO o al menos RDMA para dificultar tales ataques, o sugirió limitar el acceso directo a los servidores desde redes que no son de confianza.
La empresa asignó a la vulnerabilidad de NetCAT una calificación de gravedad «baja», describiéndola como un problema de divulgación de información parcial, y otorgó una recompensa al equipo de VUSec por la divulgación responsable.
