En gruppe forskere fra Vrije Universiteit Amsterdam og ETH Zurich har utviklet en nettverksangrepsteknikk (Network Cache ATtack), som gjør det mulig, ved hjelp av dataanalysemetoder via tredjepartskanaler, å eksternt bestemme tastene som trykkes av brukeren mens han arbeider i en SSH-sesjon. Problemet vises bare på servere som bruker teknologi (Fjern direkte minnetilgang) og (Data-Direct I/O).
Intel , at angrepet er vanskelig å implementere i praksis, siden det krever angriperens tilgang til det lokale nettverket, sterile forhold og organisering av vertskommunikasjon ved bruk av RDMA- og DDIO-teknologier, som vanligvis brukes i isolerte nettverk, for eksempel der databehandling klynger fungerer. Problemet er vurdert som Mindre (CVSS 2.6, ) og det gis en anbefaling om ikke å aktivere DDIO og RDMA i lokale nettverk der sikkerhetsperimeteren ikke er gitt og tilkobling av upålitelige klienter er tillatt. DDIO har blitt brukt i Intel-serverprosessorer siden 2012 (Intel Xeon E5, E7 og SP). Systemer basert på prosessorer fra AMD og andre produsenter er ikke berørt av problemet, siden de ikke støtter lagring av data overført over nettverket i CPU-cachen.
Metoden som ble brukt for angrepet ligner en sårbarhet "", som lar deg endre innholdet av individuelle biter i RAM gjennom manipulering av nettverkspakker i systemer med RDMA. Det nye problemet er en konsekvens av arbeidet med å minimere forsinkelser ved bruk av DDIO-mekanismen, som sikrer direkte interaksjon mellom nettverkskortet og andre perifere enheter med prosessorcachen (i prosessen med å behandle nettverkskortpakker lagres data i hurtigbufferen og hentet fra hurtigbufferen, uten tilgang til minnet).
Takket være DDIO inkluderer prosessorbufferen også data generert under ondsinnet nettverksaktivitet. NetCAT-angrepet er basert på det faktum at nettverkskort aktivt cacher data, og hastigheten på pakkebehandling i moderne lokale nettverk er tilstrekkelig til å påvirke fyllingen av cachen og bestemme tilstedeværelse eller fravær av data i cachen ved å analysere forsinkelser under data overføre.
Ved bruk av interaktive økter, som for eksempel via SSH, sendes nettverkspakken umiddelbart etter at tasten trykkes, dvs. forsinkelser mellom pakker korrelerer med forsinkelser mellom tastetrykk. Ved å bruke statistiske analysemetoder og ta i betraktning at forsinkelser mellom tastetrykk vanligvis avhenger av plasseringen av tasten på tastaturet, er det mulig å gjenskape den angitte informasjonen med en viss sannsynlighet. For eksempel har de fleste en tendens til å skrive "s" etter "a" mye raskere enn "g" etter "s".
Informasjonen som er deponert i prosessorcachen lar en også bedømme den nøyaktige tiden for pakker sendt av nettverkskortet ved behandling av tilkoblinger som SSH. Ved å generere en viss trafikkflyt kan en angriper bestemme øyeblikket når nye data vises i hurtigbufferen knyttet til en spesifikk aktivitet i systemet. For å analysere innholdet i cachen brukes metoden , som innebærer å fylle cachen med et referansesett med verdier og måle tilgangstiden til dem når de fylles på nytt for å bestemme endringer.
Det er mulig at den foreslåtte teknikken kan brukes til å bestemme ikke bare tastetrykk, men også andre typer konfidensielle data som er deponert i CPU-cachen. Angrepet kan potensielt utføres selv om RDMA er deaktivert, men uten RDMA reduseres effektiviteten og utførelsen blir betydelig vanskeligere. Det er også mulig å bruke DDIO til å organisere en skjult kommunikasjonskanal som brukes til å overføre data etter at en server har blitt kompromittert, utenom sikkerhetssystemer.
Kilde: opennet.ru