Vrije Universiteit Amsterdam болон ETH Zurich-ийн хэсэг судлаачид сүлжээний халдлага хийх арга техникийг боловсруулжээ. (Сүлжээний кэш ATtack) нь гуравдагч талын сувгуудаар дамжуулан өгөгдлийн шинжилгээний аргуудыг ашиглан SSH сесс дээр ажиллаж байхдаа хэрэглэгчийн дарсан товчлууруудыг алсаас тодорхойлох боломжийг олгодог. Асуудал нь зөвхөн технологи ашигладаг серверүүд дээр гарч ирдэг (Алсын санах ойд шууд хандах) ба (Өгөгдөл-Шууд I/O).
Intel Халдлага үйлдэгчээс дотоод сүлжээнд нэвтрэх, ариутгасан нөхцөл байдал, ихэвчлэн тусгаарлагдсан сүлжээнд ашиглагддаг RDMA, DDIO технологиудыг ашиглан хост харилцаа холбооны зохион байгуулалтыг шаарддаг тул энэ халдлага нь практикт хэрэгжүүлэхэд хэцүү байдаг. кластерууд ажилладаг. Асуудал нь Бага зэрэг үнэлгээтэй (CVSS 2.6, ) аюулгүй байдлын периметрээр хангагдаагүй, найдваргүй үйлчлүүлэгчдийн холболтыг зөвшөөрдөг дотоод сүлжээнд DDIO болон RDMA-г идэвхжүүлэхгүй байхыг зөвлөж байна. DDIO нь 2012 оноос хойш Intel серверийн процессоруудад ашиглагдаж байна (Intel Xeon E5, E7 болон SP). AMD болон бусад үйлдвэрлэгчдийн процессор дээр суурилсан системүүд нь сүлжээгээр дамжуулагдсан өгөгдлийг CPU-ийн кэшэд хадгалахыг дэмждэггүй тул асуудалд өртөхгүй.
Халдлагад ашигласан арга нь эмзэг байдалтай төстэй "", энэ нь RDMA-тай систем дэх сүлжээний пакетуудыг удирдах замаар RAM дахь бие даасан битүүдийн агуулгыг өөрчлөх боломжийг олгодог. Шинэ асуудал бол сүлжээний карт болон бусад захын төхөөрөмжүүдийн процессорын кэштэй шууд харилцан үйлчлэлцэх боломжийг олгодог DDIO механизмыг ашиглах үед саатлыг багасгах ажлын үр дагавар юм (сүлжээний картын пакетуудыг боловсруулах явцад өгөгдлийг кэш болон санах ойд хадгалдаг. санах ойд хандахгүйгээр кэшээс авсан).
DDIO-ийн ачаар процессорын кэш нь хортой сүлжээний үйл ажиллагааны явцад үүссэн өгөгдлийг агуулдаг. NetCAT халдлага нь сүлжээний картууд өгөгдлийг идэвхтэй кэшлэхэд суурилдаг бөгөөд орчин үеийн дотоод сүлжээнд пакет боловсруулах хурд нь кэшийг дүүргэхэд нөлөөлж, мэдээллийн явцад саатал гарахад дүн шинжилгээ хийх замаар кэш дэх өгөгдөл байгаа эсэх, байхгүй эсэхийг тодорхойлоход хангалттай юм. шилжүүлэх.
SSH-ээр дамжуулан гэх мэт интерактив сессийг ашиглах үед сүлжээний пакетийг товчлуур дарсны дараа шууд илгээдэг, i.e. Пакет хоорондын саатал нь товчлуурын даралтын хоорондох сааталтай холбоотой. Статистик шинжилгээний аргуудыг ашиглан, товчлуур дарах хоорондын саатал нь ихэвчлэн гар дээрх товчлуурын байрлалаас хамаардаг гэдгийг харгалзан, оруулсан мэдээллийг тодорхой магадлалаар дахин үүсгэх боломжтой. Жишээлбэл, ихэнх хүмүүс "s"-ийн дараа "g"-ээс хамаагүй хурдан "a"-ны дараа "s" гэж бичдэг.
Процессорын кэшэд хадгалагдсан мэдээлэл нь SSH гэх мэт холболтуудыг боловсруулахдаа сүлжээний картаар илгээсэн пакетуудын яг цаг хугацааг тодорхойлох боломжийг олгодог. Тодорхой хөдөлгөөний урсгалыг бий болгосноор халдагчид систем дэх тодорхой үйл ажиллагаатай холбоотой кэшэд шинэ өгөгдөл гарч ирэх мөчийг тодорхойлж чадна. Кэшийн агуулгыг шинжлэхийн тулд энэ аргыг ашигладаг , энэ нь өөрчлөлтийг тодорхойлохын тулд кэшийг лавлагааны утгуудын багцаар дүүргэж, дахин дүүргэх үед тэдгээрт хандах хугацааг хэмждэг.
Санал болгож буй техникийг зөвхөн товчлуур дарахаас гадна CPU-ийн кэшэд хадгалагдсан бусад төрлийн нууц мэдээллийг тодорхойлоход ашиглаж болно. RDMA-г идэвхгүй болгосон ч гэсэн халдлагыг хийх боломжтой боловч RDMA-гүй бол түүний үр нөлөө буурч, гүйцэтгэл нь мэдэгдэхүйц хэцүү болно. Мөн DDIO-г ашиглан серверт халдсаны дараа өгөгдөл дамжуулахад ашигладаг нууц холбооны сувгийг зохион байгуулж, хамгаалалтын системийг алгасах боломжтой.
Эх сурвалж: opennet.ru