حمله‌ی NetCAT: حمله‌ی جدید به نفوذگران اجازه می‌دهد تا داده را از پردازنده‌های اینتل به سرقت ببرند

برخلاف آسیب‌پذیری‌های کانال جانبی قبلی که در پردازنده‌های اینتل افشا شدند، پژوهش‌گران یک آسیب‌پذیری جدید کشف کرده‌اند که ممکن است به‌صورت از راه دور در شبکه و بدون نیاز به داشتن دسترسی فیزیکی یا هر بدافزار نصب‌شده در رایانه‌ی هدف، مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری کانال جانبی مبتنی‌بر شبکه‌ی جدید به نام NetCAT به یک مهاجم راه دور اجازه می‌دهد تا اطلاعات حساس مانند گذرواژه‌ی SSH را از حافظه‌ی کش پردازنده‌ی اینتل به سرقت ببرد.

این آسیب‌پذیری که توسط گروهی از پژوهش‌گران امنیتی از دانشگاه Vrije در آمستردام کشف شد و با شناسه‌ی CVE-2019-11184 ردیابی می‌شود، در ویژگی بهبود عملکرد اینتل به نام DDIO (اختصار Data-Direct I/O) وجود دارد که به دستگاه‌های شبکه و سایر لوازم جانبی دسترسی به حافظه‌ی کش پردازنده را اعطا می‌کند. DDIO از سال ۲۰۱۲ میلادی به‌طور پیش‌فرض در همه‌ی پردازنده‌های سطح سرور اینتل ازجمله Intel Xeon E5، E7 و خانواده‌ی SP فعال شده است.

به‌گفته‌ی پژوهش‌گران، حمله‌ی NetCAT مشابه Throwhammer با ارسال بسته‌های شبکه‌ی دست‌کاری‌شده به یک رایانه‌ی هدف که ویژگی دسترسی مستقیم از راه دور به حافظه (RDMA) در آن فعال است، کار می‌کند. RDMA به مهاجمان این امکان را می‌دهد تا از لوازم جانبی راه دور طرف سرور مانند کارت‌های شبکه جاسوسی کنند و اختلاف زمانی بین یک بسته‌ی شبکه‌ی دریافت‌شده از حافظه‌ی کش پردازنده‌ی راه دور را در مقایسه با بسته‌ی دریافت‌شده از حافظه را مشاهده کنند.

ایده این است که با استفاده از یک الگوریتم یادگیری ماشین، یک تجزیه و تحلیل زمان فشرده شدن کلید برای بازیابی کلمات تایپ‌شده توسط یک قربانی انجام شود.

گروه VUSec  تشریح کرد که در یک نشست SSH تعاملی، هر بار که کاربر یک کلید را فشار می‌دهد، بسته‌های شبکه به‌طور مستقیم منتقل می‌شوند. در نتیجه، هر بار که کاربر یک کاراکتر را داخل یک نشست SSH رمزنگاری‌شده در کنسول خود تایپ می‌کند، NetCAT می‌تواند زمان وقوع این رویداد را با زمان رسیدن بسته‌ی شبکه‌ی مربوطه افشا کند.

اشخاص الگوهای تایپ مشخصی دارند. به‌عنوان مثال تایپ حرف s پس از حرف a سریع‌تر از تایپ حرف g پس از حرف s است. در نتیجه، NetCAT می‌تواند تجزیه و تحلیل آماری از زمان ورود بسته‌ها انجام دهد تا آن‌چه را که کاربر در نشست SSH خصوصی خود تایپ می‌کند، افشا کند. در مقایسه با یک مهاجم محلی بومی، حمله‌ی NetCAT از طریق شبکه با کشف زمان دریافت بسته‌های SSH با یک نرخ مثبت ۸۵ درصد، دقت فشرده شدن کلیدها را به‌طور میانگین ۱۱٫۷ درصد کاهش می‌دهد.

NetCAT به یک آسیب‌پذیری کانال جانبی جدید تبدیل می‌شود و به فهرست سایر آسیب‌پذیری‌های کانال جانبی خطرناک کشف‌شده در سال گذشته ازجمله Meltdown و Spectre، TLBleed، Foreshadow، SWAPGS و PortSmash می‌پیوندد. اینتل در مشاوره‌نامه‌ی خود این مسأله را تأیید و به کاربران توصیه کرده است تا به‌طور کامل DDIO یا حداقل RDMA را غیرفعال کنند تا انجام چنین حملاتی را دشوارتر کنند و یا در غیر این صورت پیشنهاد می‌شود که دسترسی مستقیم به سرورها از شبکه‌های غیرقابل اعتماد را محدود کنند.

این شرکت آسیب‌پذیری NetCAT را با شدت کم ارزیابی کرد و آن را به‌عنوان یک مسأله‌ی افشای اطلاعات جزئی توصیف کرد و به گروه VUSec به خاطر افشای مسئولانه‌ی آن پاداش داد.

منبع

پست‌های مشابه

Leave a Comment