Intel Xeon a ďalšie procesory serverovej kvality trpia chybou zabezpečenia NetCAT, ktorá umožňuje únik dát prostredníctvom DDIO a RDMA

Intel

Zistilo sa, že procesory Intel, obzvlášť používané na serveroch a sálových počítačoch, sú zraniteľné voči bezpečnostnej chybe, ktorá umožňuje útočníkom preniknúť k spracovávaným dátam. Chyba zabezpečenia v serverovom procesore Intel Xeon a ďalších podobných procesoroch môže potenciálne umožniť útočníkom zahájiť útok postranným kanálom, ktorý môže odvodiť, na čom CPU pracuje, a zasiahnuť, aby pochopil a získal dáta.

Vedci z Vrije University v Amsterdame uviedli, že procesory serverovej triedy Intel sú zraniteľné. Tú chybu, ktorú možno klasifikovať ako závažnú, nazvali NetCAT. The zraniteľnosť otvára útočníkom možnosť preniknúť do CPU, v ktorých sú spustené procesy, a odvodiť údaje. Bezpečnostnú chybu je možné zneužiť na diaľku a spoločnosti, ktoré sa spoliehajú na tieto procesory Intel Xeon, sa môžu iba pokúsiť minimalizovať vystavenie svojich serverov a sálových počítačov, aby obmedzili pravdepodobnosť útokov a pokusov o krádež dát.

Zraniteľné procesory Intel Xeon s technológiou DDIO a RDMA:

Vedci v oblasti bezpečnosti na univerzite vo Vrije podrobne skúmali chyby zabezpečenia a zistili, že bolo ovplyvnených iba niekoľko konkrétnych procesorov Intel Zenon. Ešte dôležitejšie je, že tieto CPU potrebovali mať dve špecifické technológie Intel, ktoré bolo možné využiť. Podľa výskumníkov bol útok úspešný, keď potrebovali dve technológie Intel, ktoré sa nachádzajú predovšetkým v rade procesorov Xeon: Data-Direct I / O Technology (DDIO) a Remote Direct Memory Access (RDMA). Podrobnosti o Zraniteľnosť systému NetCAT je k dispozícii v štúdii . Oficiálne bola bezpečnostná chyba NetCAT označená ako CVE-2019-11184 .

Zdá sa, že Intel má uznal bezpečnostnú chybu v niektorých radoch procesorov Intel Xeon . Spoločnosť vydala bulletin zabezpečenia, v ktorom sa uvádza, že NetCAT ovplyvňuje procesory Xeon E5, E7 a SP, ktoré podporujú DDIO a RDMA. Konkrétnejšie, základný problém s DDIO umožňuje útoky postranným kanálom. DDIO prevláda v procesoroch Intel Zenon od roku 2012. Inými slovami, niekoľko starších procesorov Intel Xeon na serverovej úrovni, ktoré sa v súčasnosti používajú na serveroch a sálových počítačoch, môže byť zraniteľných.

Je možné rozoznať niekoho SSH heslo pri jeho zadávaní do terminálu v sieti pomocou využitia zaujímavej zraniteľnosti bočného kanálu v sieťovej technológii Intel, povedzme infosec guru. https://t.co/X0jZpgCSks A darčeky s chybami procesora Intel stále prichádzajú.

- Najlepší blog pre systém Linux v systéme Unixverse (@nixcraft) 10. septembra 2019

Na druhej strane, vedci z Vrije University uviedli, že RDMA umožňuje ich využívaniu NetCAT „chirurgicky riadiť relatívne pamäťové umiestnenie sieťových paketov na cieľovom serveri“. Jednoducho povedané, jedná sa o úplne inú triedu útoku, ktorá dokáže nielen vyňuchať informácie z procesov, ktoré procesory bežia, ale dokáže s nimi tiež manipulovať.

Zraniteľnosť znamená, že nedôveryhodné zariadenia v sieti „teraz môžu zo vzdialených serverov bez miestneho prístupu prenášať citlivé údaje, napríklad stlačenia klávesov v relácii SSH.“ Netreba dodávať, že ide o dosť závažné bezpečnostné riziko, ktoré ohrozuje integritu údajov. Vedci z univerzity Vrije mimochodom varovali v júni tohto roku nielen spoločnosť Intel o bezpečnostných chybách v procesoroch Intel Zenon, ale aj holandské národné stredisko pre kybernetickú bezpečnosť. Na znak ocenenia a za koordináciu zverejnenia zraniteľnosti so spoločnosťou Intel získala univerzita dokonca odmenu. Presná suma nebola zverejnená, ale vzhľadom na závažnosť problému to mohlo byť značné.

Ako sa chrániť pred zraniteľnosťou zabezpečenia NetCAT?

V súčasnosti je jedinou zabezpečenou metódou ochrany pred chybou zabezpečenia NetCAT úplné vypnutie funkcie DDIO v celom rozsahu. Vedci navyše upozorňujú, že používatelia postihnutých procesorov Intel Xeon by tiež mali funkciu RDMA deaktivovať, aby boli bezpečné. Nie je potrebné hovoriť, že niekoľko správcov systému sa nemusí chcieť vzdať DDIO na svojich serveroch, pretože je to dôležitá funkcia.

Intel poznamenal, že používatelia procesorov Xeon by mali „obmedziť priamy prístup z nedôveryhodných sietí“ a používať „softvérové ​​moduly odolné voči časovým útokom pomocou kódu v konštantnom čase“. Vedci z univerzity v Vrije však trvajú na tom, že samotný softvérový modul nemusí byť schopný skutočne sa brániť proti NetCAT. Moduly by však v budúcnosti mohli pomôcť s podobným využitím.