Ryhmä tutkijoita Vrije Universiteit Amsterdamista ja ETH Zurichista on kehittänyt verkkohyökkäystekniikan (Network Cache ATtack), joka mahdollistaa tietojen analysointimenetelmien avulla kolmannen osapuolen kanavien kautta etäältä määrittää, mitä näppäimiä käyttäjä painaa työskennellessään SSH-istunnossa. Ongelma ilmenee vain palvelimissa, jotka käyttävät teknologioita (Suora etäkäyttö muistiin) ja (Data-Direct I/O).
Intel , että hyökkäys on käytännössä vaikea toteuttaa, koska se vaatii hyökkääjän pääsyä paikalliseen verkkoon, steriilejä olosuhteita ja isäntäviestinnän organisointia RDMA- ja DDIO-tekniikoilla, joita käytetään yleensä eristyneissä verkoissa, esimerkiksi joissa tietojenkäsittely klusterit toimivat. Ongelman luokitus on vähäinen (CVSS 2.6, ) ja suositellaan, että DDIO:ta ja RDMA:ta ei sallita paikallisissa verkoissa, joissa ei ole suojausta ja epäluotettavien asiakkaiden yhteys on sallittu. DDIO:ta on käytetty Intelin palvelinprosessoreissa vuodesta 2012 (Intel Xeon E5, E7 ja SP). Ongelma ei vaikuta AMD:n ja muiden valmistajien prosessoreihin perustuviin järjestelmiin, koska ne eivät tue verkon kautta siirrettyjen tietojen tallentamista suorittimen välimuistiin.
Hyökkäykseen käytetty menetelmä muistuttaa haavoittuvuutta "", jonka avulla voit muuttaa yksittäisten bittien sisältöä RAM-muistissa manipuloimalla verkkopaketteja järjestelmissä, joissa on RDMA. Uusi ongelma on seurausta viiveiden minimoimiseksi käytettäessä DDIO-mekanismia, joka varmistaa verkkokortin ja muiden oheislaitteiden suoran vuorovaikutuksen prosessorin välimuistin kanssa (verkkokorttipaketteja käsiteltäessä dataa tallennetaan välimuistiin ja haettu välimuistista käyttämättä muistia).
DDIO:n ansiosta prosessorin välimuisti sisältää myös haitallisen verkkotoiminnan aikana syntyneet tiedot. NetCAT-hyökkäys perustuu siihen, että verkkokortit tallentavat dataa aktiivisesti välimuistiin ja nykyaikaisten paikallisten verkkojen pakettien käsittelyn nopeus on riittävä vaikuttamaan välimuistin täyttöön ja määrittämään välimuistin tiedon olemassaolo tai puuttuminen analysoimalla tiedonkulun viiveitä. siirtää.
Käytettäessä interaktiivisia istuntoja, kuten SSH:n kautta, verkkopaketti lähetetään välittömästi näppäimen painalluksen jälkeen, ts. pakettien väliset viiveet korreloivat näppäinpainallusten välisten viiveiden kanssa. Tilastollisten analyysimenetelmien avulla ja ottaen huomioon, että näppäinpainallusten väliset viiveet riippuvat yleensä näppäimen asennosta näppäimistöllä, syötetyt tiedot voidaan luoda uudelleen tietyllä todennäköisyydellä. Useimmilla ihmisillä on esimerkiksi tapana kirjoittaa "s" "a":n perään paljon nopeammin kuin "g" "s":n perään.
Prosessorin välimuistiin tallennetun tiedon avulla voidaan myös arvioida verkkokortin lähettämien pakettien tarkka aika käsiteltäessä yhteyksiä, kuten SSH:ta. Luomalla tietyn liikennevirran hyökkääjä voi määrittää hetken, jolloin järjestelmän tiettyyn toimintaan liittyvää uutta dataa ilmestyy välimuistiin. Menetelmää käytetään välimuistin sisällön analysointiin , joka sisältää välimuistin täyttämisen viitearvoilla ja niiden käyttöajan mittaamisen, kun ne täytetään uudelleen muutosten määrittämiseksi.
On mahdollista, että ehdotettua tekniikkaa voidaan käyttää määrittämään paitsi näppäinpainalluksia myös muun tyyppisiä luottamuksellisia tietoja, jotka on tallennettu suorittimen välimuistiin. Hyökkäys voidaan mahdollisesti suorittaa, vaikka RDMA olisi poistettu käytöstä, mutta ilman RDMA:ta sen tehokkuus heikkenee ja suoritus vaikeutuu huomattavasti. DDIO:n avulla on myös mahdollista järjestää piiloviestintäkanava, jota käytetään tietojen siirtämiseen palvelimen vaarantumisen jälkeen turvajärjestelmät ohittaen.
Lähde: opennet.ru