NetCAT: Serangan Baru Memungkinkan Peretas Dari Jarak Jauh Mencuri Data Dari CPU Intel

Tidak seperti kerentanan sisi-saluran sebelumnya yang diungkapkan dalam CPU Intel, para peneliti telah menemukan kelemahan baru yang dapat dieksploitasi dari jarak jauh melalui jaringan tanpa memerlukan penyerang untuk memiliki akses fisik atau malware apa pun yang diinstal pada komputer yang ditargetkan.

Dijuluki NetCAT, kependekan dari Network Cache ATtack, kerentanan sisi-saluran berbasis jaringan baru dapat memungkinkan penyerang jarak jauh untuk mengendus data sensitif, seperti kata sandi SSH seseorang, dari cache CPU Intel.

Ditemukan oleh tim peneliti keamanan dari Universitas Vrije di Amsterdam, kerentanan, dilacak sebagai CVE-2019-11184, berada dalam fitur optimalisasi kinerja yang disebut Intel DDIO – kependekan dari Data-Direct I / O – yang dengan desain memberikan perangkat jaringan dan akses perangkat lain ke cache CPU.

DDIO hadir secara default pada semua prosesor tingkat server Intel sejak 2012, termasuk keluarga Intel Xeon E5, E7 dan SP.

Menurut para peneliti (kertas), serangan NetCAT bekerja mirip dengan Throwhammer dengan hanya mengirim paket jaringan yang dibuat khusus ke komputer yang ditargetkan yang memiliki fitur Remote Direct Memory Access (RDMA) diaktifkan.

RDMA memungkinkan penyerang untuk memata-matai periferal sisi server jarak jauh seperti kartu jaringan dan mengamati perbedaan waktu antara paket jaringan yang dilayani dari cache prosesor jarak jauh versus paket yang dilayani dari memori.

Di sini idenya adalah untuk melakukan analisis waktu keystroke untuk memulihkan kata-kata yang diketik oleh korban menggunakan algoritma pembelajaran mesin terhadap informasi waktu.

"Dalam sesi SSH interaktif, setiap kali Anda menekan tombol, paket jaringan sedang dikirim secara langsung. Akibatnya, setiap kali Anda mengetik karakter di dalam sesi SSH terenkripsi di konsol Anda, NetCAT dapat membocorkan waktu acara dengan membocorkan waktu kedatangan paket jaringan yang sesuai, "jelas tim VUSec.

"Sekarang, manusia memiliki pola pengetikan yang berbeda. Misalnya, mengetik 'tepat setelah' a 'lebih cepat daripada mengetik' g 'setelah.' Akibatnya, NetCAT dapat mengoperasikan analisis statis dari waktu kedatangan antar paket dalam apa yang dikenal sebagai serangan waktu keystroke untuk membocorkan apa yang Anda ketik dalam sesi SSH pribadi Anda. "

"Dibandingkan dengan penyerang lokal asli, serangan NetCAT dari seluruh jaringan hanya mengurangi akurasi dari penekanan tombol yang ditemukan rata-rata sebesar 11,7% dengan menemukan antar kedatangan paket SSH dengan tingkat positif sejati sebesar 85%."

Tim VUSec juga telah mempublikasikan video, seperti yang ditunjukkan di atas, menunjukkan metode untuk memata-matai sesi SSH secara real-time dengan hanya server bersama.

NetCAT menjadi kerentanan saluran samping baru bergabung dengan daftar kerentanan saluran samping berbahaya lainnya yang ditemukan pada tahun lalu, termasuk Meltdown dan Specter, TLBleed, Foreshadow, SWAPGS, dan PortSmash.

Dalam penasehatnya, Intel telah mengakui masalah ini dan merekomendasikan pengguna untuk sepenuhnya menonaktifkan DDIO atau setidaknya RDMA untuk membuat serangan seperti itu lebih sulit, atau menyarankan untuk membatasi akses langsung ke server dari jaringan yang tidak terpercaya.

Perusahaan menetapkan kerentanan NetCAT pada peringkat keparahan "rendah", menggambarkannya sebagai masalah pengungkapan informasi parsial, dan memberikan hadiah kepada tim VUSec untuk pengungkapan yang bertanggung jawab.