CPU

NetCAT, un nuovo attacco colpisce le CPU Intel Xeon

I ricercatori della VU Amsterdam hanno identificato una nuova falla, ribattezzata NetCAT (CVE-2019-11184), che interessa i processor di Intel. Non riguarda le CPU Core e inferiori che avete nei vostri PC, ma le soluzioni server Xeon dal 2012 in poi. A detta dei ricercatori le CPU della concorrente AMD sono esenti dal problema.

Anche in questo caso parliamo di un attacco side-channel, che sottrae informazioni sensibili come le pressioni dei tasti in una sessione SSH (altrimenti crittografata) sulla rete.

NetCAT mostra che gli attacchi side channel alla cache basati sulla rete rappresentano una minaccia realistica. Gli attacchi alla cache sono stati tradizionalmente usati per acquisire dati sensibili da un’impostazione locale (ad esempio, da una macchina virtuale controllata dall’attaccante verso una macchina virtuale vittima che condivide la cache della CPU su una piattaforma cloud)”.

“Con NetCAT, mostriamo che questa minaccia si estende ai client non attendibili sulla rete, che ora possono farsi sfuggire dati sensibili come sequenze di tasti in una sessione SSH da server remoti senza accesso locale” spiegano i ricercatori.

La causa principale della vulnerabilità è una recente funzionalità Intel denominata DDIO [Data-Direct I/O], che dà ai dispositivi di rete e alle altre periferiche accesso alla cache della CPU. Inizialmente intesa come ottimizzazione delle prestazioni nelle reti veloci, abbiamo dimostrato come DDIO abbia gravi implicazioni per la sicurezza, esponendo i server nelle reti locali non attendibili ad attacchi remoti side channel”.

Come detto la falla riguarda solo gli Xeon, non i processori Core e i chip correlati che non hanno la funzionalità DDIO. Desta preoccupazione il fatto che la funzionalità, ove presente, è abilitata per impostazione predefinita (default).

“Intel concorda sul fatto che si tratta di una vulnerabilità significativa, avendo riconosciuto a NetCAT un premio generoso e raccomanda agli utenti di ‘limitare l’accesso diretto da reti non attendibili quando DDIO e RDMA [Remote Direct Memory Access] sono abilitati’”.

“Ciò significa essenzialmente che in ambienti non attendibili DDIO e/o RDMA dovrebbero essere disabilitati per avere sicurezza. Per quanto ne sappiamo, questa è la prima volta che un importante fornitore di hardware come Intel mette in guardia dall’uso di una funzionalità delle CPU in reti locali non attendibili”.

Nonostante quanto affermato dai ricercatori, pubblicamente Intel minimizza la gravità della falla. “Questo problema ha un punteggio CVSS basso di 2.6. Negli scenari in cui sono abilitati Intel DDIO e RDMA, sono necessari controlli di sicurezza avanzati su una rete protetta, poiché un malintenzionato avrebbe accesso in lettura/scrittura RDMA su un sistema usando Intel DDIO per utilizzare questo exploit”, ha affermato l’azienda.

“Negli scenari complessi in cui sono generalmente utilizzati Intel DDIO e RDMA, come cluster di elaborazione altamente paralleli, i malintenzionati in genere non hanno accesso diretto da reti non attendibili”.

Il problema riguarda tutti i chip Intel Xeon E5, E7 e SP (Scalable Processor) che includono il supporto DDIO e RDMA; Intel non sembra aver rilasciato alcuna patch, ma consiglia di aggirare il problema limitando l’accesso diretto ai server da reti non attendibili o disabilitando il supporto DDIO e RDMA nonostante le prestazioni ne risentano. I dettagli completi su NetCAT sono disponibili sul sito Web VUSec.