Intel Xeon i drugi procesori razine servera trpe zbog NetCAT sigurnosne ranjivosti koja omogućuje curenje podataka kroz DDIO i RDMA

Intel

Utvrđeno je da su Intel CPU-i, posebno korišteni u poslužiteljima i glavnim računalima, ranjivi na sigurnosnu manu koja napadačima omogućuje uvid u podatke koji se obrađuju. Sigurnosna pogreška unutar poslužiteljskog Intel Xeona i drugih sličnih procesora potencijalno može dopustiti napadačima pokretanje bočnog napada koji može zaključiti na čemu CPU radi i intervenirati kako bi razumio i prikupio podatke.

Istraživači sa Sveučilišta Vrije u Amsterdamu izvijestili su da Intelovi procesori razine poslužitelja pate od ranjivosti. Propust, koji se može klasificirati kao ozbiljan, nazvali su NetCAT. The ranjivost otvara mogućnost napadačima za uključivanje procesora koji izvode procese i zaključivanje podataka. Sigurnosni propust može se iskoristiti na daljinu, a tvrtke koje se oslanjaju na ove Intel Xeon procesore mogu samo pokušati smanjiti izloženost svojih poslužitelja i glavnih računara kako bi ograničile šanse za napade i pokušaje krađe podataka.

Intel Xeon procesori s DDIO i RDMA tehnologijama ranjivi:

Istraživači sigurnosti sa Sveučilišta Vrije detaljno su istražili sigurnosne ranjivosti i otkrili da je zahvaćeno samo nekoliko specifičnih Intel Zenon CPU-a. Još važnije, ovi CPU trebali su imati dvije specifične Intelove tehnologije koje se mogu iskoristiti. Prema istraživačima, napadu su trebale dvije Intelove tehnologije koje se prvenstveno nalaze u Xeon CPU liniji: Data-Direct I / O Technology (DDIO) i Remote Direct Memory Access (RDMA), da bi bila uspješna. Pojedinosti o NetCAT ranjivost dostupna je u istraživačkom radu . Službeno je NetCAT-ov sigurnosni propust označen kao CVE-2019-11184 .

Čini se da Intel ima prepoznao sigurnosnu ranjivost u nekim linijama procesora Intel Xeon . Tvrtka je izdala sigurnosni bilten u kojem je istaknuto da NetCAT utječe na Xeon E5, E7 i SP procesore koji podržavaju DDIO i RDMA. Preciznije, temeljni problem s DDIO omogućuje napade bočnih kanala. DDIO je rasprostranjen u Intel Zenon CPU-ima od 2012. Drugim riječima, nekoliko starijih Intel Xeon CPU-a koji se trenutno koriste na poslužiteljima i glavnim računalima može biti ranjivo.

Moguće je razaznati nečiju SSH lozinku dok je upisuju u terminal preko mreže iskorištavanjem zanimljive ranjivosti bočnog kanala u Intelovoj mrežnoj tehnologiji, kažu guseri infosec. https://t.co/X0jZpgCSks I Intel CPU darovi s programskim pogreškama i dalje dolaze.

- Najbolji Linux blog u Unixverseu (@nixcraft) 10. rujna 2019

S druge strane, istraživači sveučilišta Vrije rekli su da RDMA omogućuje njihovu eksploataciju NetCAT-a za 'kirurški nadzor relativnog mjesta memorije mrežnih paketa na ciljnom poslužitelju'. Jednostavno rečeno, ovo je čitava druga klasa napada koja ne samo da može iznjušiti informacije iz procesa koje izvršavaju CPU-i, već također može njima manipulirati.

Ranjivost znači da nepouzdani uređaji na mreži 'sada mogu propuštati osjetljive podatke poput pritiska tipki u SSH sesiji s udaljenih poslužitelja bez lokalnog pristupa.' Nepotrebno je reći da je ovo prilično ozbiljan sigurnosni rizik koji prijeti integritetu podataka. Inače, istraživači sveučilišta Vrije upozorili su ne samo Intel na sigurnosne ranjivosti unutar procesora Intel Zenon već i nizozemski Nacionalni centar za kibernetsku sigurnost u mjesecu lipnju ove godine. U znak zahvalnosti i za koordinaciju otkrivanja ranjivosti s Intelom, sveučilište je čak primilo i nagradu. Točan iznos nije objavljen, ali s obzirom na ozbiljnost problema mogao je biti značajan.

Kako se zaštititi od NetCAT sigurnosne ranjivosti?

Trenutno je jedina sigurna metoda zaštite od NetCAT sigurnosne ranjivosti potpuno onemogućavanje značajke DDIO u cijelosti. Štoviše, istraživači upozoravaju da bi korisnici pogođenih Intel Xeon procesora također trebali onemogućiti značajku RDMA kako bi bili sigurni. Nepotrebno je reći da nekoliko administratora sustava možda neće htjeti odustati od DDIO-a na svojim poslužiteljima jer je to važna značajka.

Intel je napomenuo da bi korisnici Xeon CPU-a trebali 'ograničiti izravan pristup s nepouzdanih mreža' i koristiti 'softverske module otporne na vremenske napade, koristeći kôd stila u stalnom vremenu'. Međutim, istraživači sa Sveučilišta Vrije inzistiraju na tome da puki softverski modul možda neće moći istinski obraniti NetCAT. Moduli bi, međutim, mogli pomoći u sličnim eksploatacijama u budućnosti.