Intel Xeon och andra processorer av servernivå lider av NetCAT-säkerhetsproblem som medför dataläckage genom DDIO och RDMA

Intel

Intel-processorer, som särskilt används på servrarna och mainframes, befanns vara sårbara för en säkerhetsfel som gör det möjligt för angripare att snoopa in data som bearbetas. Säkerhetsfelet inom Intel Xeon och andra liknande processorer kan potentiellt tillåta angripare att starta en sidokanalattack som kan leda till vad en CPU arbetar med och ingripa för att förstå och plocka upp data.

Forskare vid Vrije University i Amsterdam rapporterade att Intels processorer av serverkvalitet lider av en sårbarhet. De har kallat felet, som kan klassificeras som allvarligt, som NetCAT. De sårbarhet öppnar möjligheten för angripare för att utnyttja de processorer som kör processer och härleda data. Säkerhetsfelet kan utnyttjas på distans och företag som förlitar sig på dessa Intel Xeon-processorer kan bara försöka minimera exponeringen av sina servrar och mainframes för att begränsa risken för attacker och datastöldförsök.

Intel Xeon-processorer med sårbar DDIO- och RDMA-teknik:

Säkerhetsforskare vid Vrije University undersökte säkerhetsproblemen i detalj och upptäckte att endast ett fåtal specifika Intel Zenon-processorer påverkades. Ännu viktigare, dessa processorer behövde ha två specifika Intel-tekniker som skulle kunna utnyttjas. Enligt forskarna behövde attacken två Intel-tekniker som främst finns i Xeon CPU-linjen: Data-Direct I / O Technology (DDIO) och Remote Direct Memory Access (RDMA) för att lyckas. Detaljer om NetCAT-sårbarhet finns i ett forskningspapper . Officiellt har NetCAT-säkerhetsfelet taggats som CVE-2019-11184 .

Intel verkar ha erkände säkerhetsproblemet i en del av Intel Xeon CPU-sortimentet . Företaget utfärdade en säkerhetsbulletin som noterade att NetCAT påverkar Xeon E5, E7 och SP-processorer som stöder DDIO och RDMA. Mer specifikt möjliggör en underliggande fråga med DDIO sidokanalattacker. DDIO har förekommit i Intel Zenon-processorer sedan 2012. Med andra ord kan flera äldre Intel Xeon-processorer av serverklass som för närvarande används i servrar och mainframes vara sårbara.

Det är möjligt att urskilja någons SSH-lösenord när de skriver det i en terminal via nätverket genom att utnyttja en intressant sidokanalsårbarhet i Intels nätverksteknik, säger infosec-guruer. https://t.co/X0jZpgCSks Och Intel CPU-buggar fortsätter att komma.

- Den bästa Linux-bloggen i Unixverse (@nixcraft) 10 september 2019

Å andra sidan sa Vrije Universitys forskare att RDMA tillåter deras NetCAT-utnyttjande att 'kirurgiskt kontrollera den relativa minnesplatsen för nätverkspaket på målservern.' Enkelt uttryckt är detta en helt annan klass av attacker som inte bara kan sniffa ut information från de processer som processorerna kör, men det kan också manipulera detsamma också.

Sårbarheten innebär att otillförlitliga enheter i ett nätverk 'nu kan läcka känslig data som tangenttryckningar i en SSH-session från fjärrservrar utan lokal åtkomst.' Det behöver inte sägas att detta är en ganska allvarlig säkerhetsrisk som hotar dataintegriteten. För övrigt hade Vrije Universitys forskare inte bara larmat Intel om säkerhetsproblemen inom Intel Zenon-processorerna utan också Nederländska nationella cybersäkerhetscentret under juni månad, i år. Som ett tecken på uppskattning och för att samordna sårbarhetens avslöjande med Intel fick universitetet till och med en skott. Det exakta beloppet har inte avslöjats, men med tanke på hur allvarligt problemet var, kunde det ha varit betydande.

Hur man skyddar mot NetCAT-säkerhetsproblem?

För närvarande är den enda säkra metoden för att skydda mot NetCAT-säkerhetsproblemet att helt inaktivera DDIO-funktionen i sin helhet. Dessutom varnar forskare för att användare med de drabbade Intel Xeon-processorerna också ska inaktivera RDMA-funktionen för att vara säker. Det behöver inte sägas att flera systemadministratörer kanske inte vill ge upp DDIO på sina servrar eftersom det är en viktig funktion.

Intel har noterat att Xeon CPU-användare bör 'begränsa direkt åtkomst från opålitliga nätverk' och använda 'programvarumoduler som är motståndskraftiga mot tidsangrepp, med konstantkod för konstant tid.' Forskarna vid Vrije University insisterar dock på att enbart mjukvarumodul kanske inte verkligen kan försvara sig mot NetCAT. Modulerna kan dock hjälpa till med liknande exploater i framtiden.