Se ha registrado un nuevo vector de ataque diferente a los avistados durante el tiempo de tipo canal lateral como Spectre, Meltdown, esta falla no requiere que un atacante tenga acceso físico o que el equipo tenga un malware instalado en la computadora objetivo.
Apodado como NetCAT, abreviatura de Network Cache ATtack, la nueva vulnerabilidad de canal lateral, eso sí, basada en la red, podría permitir a un atacante remoto filtrar datos confidenciales, como contraseñas SSH por medio del caché de las CPUs de Intel.
Descubierta por un equipo de investigadores de seguridad, la vulnerabilidad registrada como CVE-2019-11184, reside en una función de optimización de rendimiento llamada DDIO de Intel, abreviación de Data-Direct (I/O), que por medio del diseño otorga dispositivos de red y otros periféricos para acceder al caché de la CPU.
DDIO viene habilitado por defecto en todos los procesadores Intel para servidores desde 2012, lo que incluye a las familias Intel Xeon E5, E7 y SP. Según los investigadores, el ataque de NetCAT funciona de manera similar al ataque Throwhammer, debido a que comparte características como el enviar paquetes de red manipulados a una computadora específica que tenga habilitada la función de acceso directo a memoria remota (RDMA). RDMA permite a los atacantes espiar los periféricos remotos del lado del servidor, como las tarjetas de red, y observar la diferencia de tiempo entre un paquete de red desde la caché del procesador remoto frente a un paquete de la memoria.
Se publicado un video, que demuestra un método para espiar sesiones SSH en tiempo real con nada más que un servidor compartido, en donde se realiza un análisis de sincronización de la pulsación de las teclas para recuperar palabras escritas por una víctima usando un algoritmo de aprendizaje automático.
NetCAT se convierte en la nueva vulnerabilidad de canal lateral, que se une a una lista de vulnerabilidades conocidas como Meltdown y Spectre, Foreshadow, SWAPGS, etc.
Intel ha reconocido el problema y recomendó a los usuarios que deshabiliten completamente DDIO o al menos RDMA, para hacer que tales ataques sean más difíciles de ejecutar, también sugieren limitar el acceso directo a los servidores desde redes no confiables. La compañía asignó a la vulnerabilidad de NetCAT una calificación "baja", describiendola como un problema de divulgación de información parcial, y otorgó una recompensa al equipo a cargo de la investigación.
REFERENCIA
COMENTARIOS