Investigadores de la universidad de
Vrije de Amsterdan descubren una nueva vulnerabilidad en las CPUs de Intel, que
puede ser explotada remotamente sin necesidad de acceso físico o malware instalado
en la máquina objetivo.
Bautizada como NetCAT (Network Cache
ATtack), esta vulnerabilidad permite a un atacante remoto averiguar información
sensible a través de la cache de las CPUs de Intel.
La vulnerabilidad con identificador
CVE-2019-11184 se encuentra en una capacidad de estas CPUs llamada DDIO (Data
Direct I/O), que por diseño permite a dispositivos y periféricos de una red
acceder a la cache de dichas CPUs.
Esta capacidad está activada por
defecto en todas las CPUs de Intel usadas en servidores, como son los
procesadores de la familia Xeon E5, E7 y SP.
Según los investigadores, el ataque
NetCAT funciona de forma similar a Throwhammer, en el sentido de que se envían
paquetes de red especialmente diseñados a una máquina destino que tiene activado
RDMA (Remote Direct Memory Access).
RDMA permite a un usuario malicioso
espiar las acciones de aquellos dispositivos que hagan uso de esta tecnología,
como puede ser una tarjeta de red. Esta técnica se consigue mediante la
observación de las diferencias de tiempo entre un paquete de red que es
ofrecido desde la cache de procesador y otro que es ofrecido desde la memoria.
La idea es llevar a cabo un análisis
del tiempo de las pulsaciones realizadas por la víctima usando un algoritmo de
inteligencia artificial. El equipo de Vrije logró una tasa de acierto del 85%
en sus pruebas, en las que se recuperó una credencial SSH a través de la red.
Intel por su parte ha reconocido el
problema y recomienda a los usuarios afectados desactivar DDIO o al menos RDMA
para hacer este tipo de ataques más complicados. También se sugiere limitar el
contacto de los servidores vulnerables con redes de poca confianza.
Más Información:
Fuente: Hispasec