Een groep onderzoekers van de Vrije Universiteit Amsterdam en ETH Zürich hebben een netwerkaanvaltechniek ontwikkeld (Network Cache ATtack), waarmee met behulp van data-analysemethoden via kanalen van derden op afstand kan worden bepaald welke toetsen de gebruiker heeft ingedrukt tijdens het werken in een SSH-sessie. Het probleem doet zich alleen voor op servers die technologieën gebruiken (Directe geheugentoegang op afstand) en (Data-directe I/O).
Intel , dat de aanval in de praktijk moeilijk uit te voeren is, omdat deze de toegang van de aanvaller tot het lokale netwerk, steriele omstandigheden en de organisatie van hostcommunicatie vereist met behulp van RDMA- en DDIO-technologieën, die meestal worden gebruikt in geïsoleerde netwerken, waarin bijvoorbeeld computersystemen worden gebruikt clusters opereren. Het probleem heeft de beoordeling Klein (CVSS 2.6, ) en er wordt aanbevolen om DDIO en RDMA niet in te schakelen in lokale netwerken waar de beveiligingsperimeter niet aanwezig is en de verbinding van onbetrouwbare clients is toegestaan. DDIO wordt sinds 2012 gebruikt in Intel-serverprocessors (Intel Xeon E5, E7 en SP). Systemen die zijn gebaseerd op processors van AMD en andere fabrikanten hebben geen last van het probleem, omdat ze geen ondersteuning bieden voor het opslaan van gegevens die via het netwerk worden overgedragen in de CPU-cache.
De gebruikte methode voor de aanval lijkt op een kwetsbaarheid'“, waarmee u de inhoud van individuele bits in RAM kunt wijzigen door manipulatie van netwerkpakketten in systemen met RDMA. Het nieuwe probleem is een gevolg van het werk om vertragingen te minimaliseren bij het gebruik van het DDIO-mechanisme, dat zorgt voor directe interactie van de netwerkkaart en andere randapparatuur met de cache van de processor (tijdens het verwerken van netwerkkaartpakketten worden gegevens opgeslagen in de cache en opgehaald uit de cache, zonder toegang tot het geheugen).
Dankzij DDIO bevat de cache van de processor ook gegevens die zijn gegenereerd tijdens kwaadaardige netwerkactiviteiten. De NetCAT-aanval is gebaseerd op het feit dat netwerkkaarten actief gegevens in de cache opslaan, en dat de snelheid van de pakketverwerking in moderne lokale netwerken voldoende is om het vullen van de cache te beïnvloeden en de aan- of afwezigheid van gegevens in de cache te bepalen door vertragingen tijdens gegevensverwerking te analyseren. overdracht.
Bij gebruik van interactieve sessies, zoals via SSH, wordt het netwerkpakket direct na het indrukken van de toets verzonden, d.w.z. vertragingen tussen pakketten correleren met vertragingen tussen toetsaanslagen. Met behulp van statistische analysemethoden en rekening houdend met het feit dat de vertragingen tussen toetsaanslagen meestal afhangen van de positie van de toets op het toetsenbord, is het mogelijk om de ingevoerde informatie met een bepaalde waarschijnlijkheid opnieuw te creëren. De meeste mensen hebben bijvoorbeeld de neiging om 's' na 'a' veel sneller te typen dan 'g' na 's'.
De informatie die in de cache van de processor wordt opgeslagen, maakt het ook mogelijk om het exacte tijdstip te beoordelen van pakketten die door de netwerkkaart worden verzonden bij het verwerken van verbindingen zoals SSH. Door een bepaalde verkeersstroom te genereren kan een aanvaller het moment bepalen waarop nieuwe gegevens in de cache verschijnen die verband houden met een specifieke activiteit in het systeem. Om de inhoud van de cache te analyseren, wordt de methode gebruikt , wat inhoudt dat de cache wordt gevuld met een referentieset met waarden en dat de toegangstijd daartoe wordt gemeten wanneer deze opnieuw wordt gevuld om wijzigingen vast te stellen.
Het is mogelijk dat de voorgestelde techniek kan worden gebruikt om niet alleen toetsaanslagen te bepalen, maar ook andere soorten vertrouwelijke gegevens die in de CPU-cache zijn opgeslagen. De aanval kan mogelijk zelfs worden uitgevoerd als RDMA is uitgeschakeld, maar zonder RDMA wordt de effectiviteit ervan verminderd en wordt de uitvoering aanzienlijk moeilijker. Het is ook mogelijk om DDIO te gebruiken om een geheim communicatiekanaal te organiseren dat wordt gebruikt om gegevens over te dragen nadat een server is gecompromitteerd, waarbij beveiligingssystemen worden omzeild.
Bron: opennet.ru