CPU

傻眼貓咪? Intel Xeon處理器發現新漏洞,全新NetCAT快取漏洞可透過DDIO來竊取敏感資料!

文.圖/Johan 2019-09-11 17:33:50
DDIO (Data-Direct I/O,資料直接存取) 是Intel伺服器處理器的獨有功能,允許NIC(網路卡)繞過慢速的系統記憶體,直接去存取處理器內快速的L3快取資料,這樣一來,就可以降低NIC的延遲,讓伺服器或HPC整體效能提升!這項立意其實是不錯的,但是這個功能卻被發現有嚴重的漏洞!


來自荷蘭的Vrije Universiteit Amsterdam (阿姆斯特丹自由大學)以及瑞士的ETH Zurich (蘇黎世聯邦理工學院)的網路安全研究人員,在北美時間9/10(禮拜二)發表一份研究報告,其介紹了最新形態的NetCAT攻擊(這裡的NetCAT,跟Unix指令nc或netcat並沒有關係),能透過DDIO的安全性漏洞,會允許網路中的受感染的伺服器,能夠從區域網路上的其他電腦來竊取資料!

DDIO功能架構圖,可以讓PCIe裝置直接去存取CPU裡面的最後階快取


安全性漏洞,這次發生在伺服器處理器上!茲事體大!

似乎每次有安全性漏洞問題,好像都是優先在Intel處理器上面發現,看來Intel處理器漏洞百出,好像也不太影響銷售量,一般桌上型處理器產品來說,會買的人還是照買。但是,這次NetCAT安全性漏洞,可是在伺服器處理器上揭露的,對於需要絕對安全性的伺服器使用環境來說,這次的漏洞則不可輕忽!

主要是因為NetCAT漏洞,不僅可透過DDIO的方式竊取區域網路中的其他電腦資料外,還能竊取其他同樣遭受感染伺服器記憶體內的其他敏感資料,此外更可怕的是,可以「側錄」使用者輸入了哪些字(Keystroke),這樣就有可能直接分析出打的是什麼字(可參考看下方影片示範)。簡單來說,只要其中一台伺服器受感染,就可能危害整個網路系統,就算有些伺服器不具備DDIO功能,其也能透過RDMA (Remote Direct Memory Access,遠端直接記憶體存取)的方式,讓整個網路陷入危險之中。

使用者打過的字會儲存在快取中,透過NetCAT漏洞,縱使在SSH加密協定下,亦可遠端快取側道來獲取網路封包的接收時間間隔,進而統計出使用者打了什麼字


網貓(NetCAT)讓HPC環境變「傻眼貓咪」!

由於RDMA是HPC (高性能運算)與超級電腦環境常見的一種技術,也是提升效能的主要支柱。但既然NetCAT也會透過RDMA的方式來搞爛整個網路系統,那麼Intel就不得不重視這個議題!

駭客能夠透過受感染的伺服器(紅色區),以RDMA的方式來存取到受害者的機器(右邊白色區)


據了解,目前Intel已先初步得到這個訊息,在還沒釐清其影響多大之前,先要求其客戶先暫時關閉DDIO和RDMA功能,尤其在連接未受信任的網路時,先把這兩個功能給Disable,而Intel也在趕緊研製更新包,以修補這個全新漏洞!

您說這是伺服器的事情,不關一般消費者的事情?那可不!NetCAT漏洞可能為虛擬主機網站(Web Hosting)的供應商帶來巨大的麻煩!因為駭客在有啟用RDMA和DDIO功能的數據中心租用了一台虛擬主機,這樣一來他就可能利用NetCAT漏洞來竊取其他客戶所租用虛擬主機內的敏感數據!您說這影響不大嗎?

NetCAT漏洞影片示範:透過SSH來「側錄」受害者的鍵盤打字,並猜出是打了什麼字

NetCAT這種新型態的攻擊方式,未來可能還會陸續被發現

研究人員表示,他們是基於很小的假設,來表達出NetCAT漏洞的影響甚巨!因為這種基於網路的快取攻擊方式,算是新型態的攻擊方式,未來他們認為會有更多類似NetCAT的攻擊方式被發掘出來!研究人員表示他們希望能努力去警告CPU廠商們,別在還沒有徹底安全設計的情況下,將CPU的微架構資訊曝露給周邊設備廠商,以防止被濫用!

不過,這其實有點兩難,你不公佈微架構給周邊設備廠商(例如網路卡製造商),這些廠商就無法利用該CPU的特性,來提升其產品效能,以增加賣點了。

至於AMD EPYC處理器方面,由於並不支援DDIO功能,因此不需要擔心上述的問題!看來AMD的標語「再買Xeon你會被炒魷魚!」,可能越來越讓IT網管們心有戚戚焉了!




發表您的看法

請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。

請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。

請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。

請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。

請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。

您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。