„Intel Xeon“ ir kiti serverio lygio procesoriai kenčia nuo „NetCAT“ saugumo pažeidžiamumo, leidžiančio nutekėti duomenis per DDIO ir RDMA

„Intel“

Nustatyta, kad „Intel“ procesoriai, ypač naudojami serveriuose ir pagrindiniuose kompiuteriuose, yra pažeidžiami dėl saugumo trūkumo, leidžiančio užpuolikams patekti į apdorojamus duomenis. Serverio lygio „Intel Xeon“ ir kitų panašių procesorių saugos klaida gali leisti užpuolikams pradėti šoninio kanalo ataką, kuri gali padaryti išvadą, su kuo dirba procesorius, ir įsikišti, kad suprastų ir paimtų duomenis.

Amsterdamo Vrije universiteto mokslininkai pranešė, kad „Intel“ serverio lygio procesoriai kenčia nuo pažeidžiamumo. Jie įvardijo trūkumą, kurį galima priskirti prie rimtų, kaip „NetCAT“. pažeidžiamumas atveria galimybę užpuolikams pasinaudoti procesoriais, kuriuose vykdomi procesai, ir padaryti išvadą apie duomenis. Saugumo trūkumu galima pasinaudoti nuotoliniu būdu, o įmonės, besiremiančios šiais „Intel Xeon“ procesoriais, gali tik bandyti sumažinti savo serverių ir didžiųjų kadrų ekspoziciją, kad sumažintų atakų ir bandymų pavogti galimybes.

„Intel Xeon“ procesoriai su pažeidžiamomis DDIO ir RDMA technologijomis:

Vrije universiteto saugumo tyrėjai išsamiai ištyrė saugumo spragas ir atrado, kad paveikti tik keli konkretūs „Intel Zenon“ procesoriai. Dar svarbiau tai, kad šie procesoriai turėjo turėti dvi specifines „Intel“ technologijas, kurias būtų galima išnaudoti. Pasak mokslininkų, atakai prireikė dviejų „Intel“ technologijų, visų pirma rastų „Xeon“ procesorių linijoje: tiesioginės duomenų perdavimo / išvesties technologijos (DDIO) ir nuotolinės tiesioginės atminties prieigos (RDMA), kad būtų sėkminga. Išsami informacija apie „NetCAT“ pažeidžiamumas pateikiamas tiriamajame darbe . Oficialiai „NetCAT“ saugumo trūkumas pažymėtas kaip CVE-2019-11184 .

Atrodo, kad „Intel“ turi pripažino kai kurių „Intel Xeon“ procesorių serijos saugumo pažeidžiamumą . Bendrovė išleido saugos biuletenį, kuriame pažymėta, kad „NetCAT“ veikia „Xeon E5“, „E7“ ir SP procesorius, palaikančius DDIO ir RDMA. Tiksliau, pagrindinė DDIO problema įgalina šoninius kanalus. DDIO „Intel Zenon“ procesoriuose buvo paplitęs nuo 2012 m. Kitaip tariant, keli senesni serverio lygio „Intel Xeon“ procesoriai, šiuo metu naudojami serveriuose ir pagrindiniuose kompiuteriuose, gali būti pažeidžiami.

Galima atskirti kažkieno SSH slaptažodį, kai jie įveda jį į terminalą per tinklą, išnaudodami įdomų „Intel“ tinklo technologijos šalutinio kanalo pažeidžiamumą, sako infosekų guru. https://t.co/X0jZpgCSks „Intel“ procesoriaus klaidų dovanos vis ateina.

- geriausias „Linux“ tinklaraštis „Unixverse“ (@nixcraft) 2019 m. Rugsėjo 10 d

Kita vertus, Vrije universiteto mokslininkai teigė, kad RDMA leidžia jų „NetCAT“ išnaudoti „chirurgiškai valdyti santykinę tinklo paketų atminties vietą tiksliniame serveryje“. Paprasčiau tariant, tai yra visai kita atakų klasė, kuri gali ne tik išgauti informaciją iš procesų, kuriuos vykdo procesoriai, bet ir tuo pačiu manipuliuoti.

Pažeidžiamumas reiškia, kad nepatikimi tinklo įrenginiai „dabar gali nutekėti neskelbtinus duomenis, tokius kaip klavišų paspaudimai SSH sesijoje, iš nuotolinių serverių be vietinės prieigos“. Nereikia nė sakyti, kad tai gana rimta saugumo rizika, kelianti grėsmę duomenų vientisumui. Beje, šių metų birželio mėnesį Vrije universiteto mokslininkai perspėjo ne tik „Intel“ apie „Intel Zenon“ procesorių saugumo spragas, bet ir Nyderlandų nacionalinį kibernetinio saugumo centrą. Kaip padėkos ženklą ir už pažeidžiamumo atskleidimo koordinavimą su „Intel“ universitetas netgi gavo premiją. Tiksli suma neatskleidžiama, tačiau atsižvelgiant į problemos rimtumą, ji galėjo būti didelė.

Kaip apsisaugoti nuo „NetCAT“ saugumo pažeidžiamumo?

Šiuo metu vienintelis užtikrintas būdas apsaugoti nuo „NetCAT“ saugumo pažeidžiamumo yra visiškai išjungti DDIO funkciją. Be to, mokslininkai perspėja, kad vartotojai, turintys paveiktus „Intel Xeon“ procesorius, taip pat turėtų išjungti RDMA funkciją, kad būtų saugūs. Nereikia nė sakyti, kad keli sistemos administratoriai gali nenorėti atsisakyti DDIO savo serveriuose, nes tai yra svarbi funkcija.

„Intel“ pažymėjo, kad „Xeon“ procesoriaus vartotojai turėtų „apriboti tiesioginę prieigą iš nepatikimų tinklų“ ir naudoti „programinės įrangos modulius, atsparius laiko atakoms, naudojant pastovaus laiko stiliaus kodą“. Vis dėlto Vrije universiteto mokslininkai tvirtina, kad vien programinės įrangos modulis gali nesugebėti iš tikrųjų apsiginti nuo NetCAT. Tačiau moduliai ateityje galėtų padėti panašiems išnaudojimams.