NetCAT je nová vážná hrozba pro procesory Intel Xeon

Exploit NetCAT se zaměřuje na DDIO nebo Direct Data I/O, což je funkce, kterou mají pouze a jen procesory firmy Intel, takže je zřejmé, že jde o jejich problém. Direct Data I/O funguje prostě, umožní zařízením NIC (síťové adaptéry), aby mohla přistupovat přímo do paměti L3 cache v procesorech, a nemusela tak využívat vestavěné kontrolery pro přístup do paměti RAM. Díky tomu se zvyšuje výkon a snižují latence.

 

 

Jak ale zjistili bezpečnostní výzkumníci z Vrije Universiteit Amsterdam a ETH Zurich, DDIO je zároveň dalším možným vektorem, který mohou využít útočníci zaměřující se na cizí data. Jde o kompromitované servery, které tak mohou být využity k útoku na všechny ostatní stroje zapojené do stejné sítě a ohroženo je v podstatě vše, co projde pamětí L3 cache. 

 

Hrozba se pak může násobit v datových centrech, v nichž nefunguje pouze DDIO, ale také funkce RDMA (remote direct memory access), která umožní z jednoho serveru kompromitovat celou síť. RDMA se přitom často využívá pro navyšování výkonu v prostředí HPC a superpočítačů. 

 

Reakce Intelu byla zatím prostá. Své zákazníky požádal, aby prozatím na strojích s přístupem k nevěrohodným sítím jednoduše deaktivovali DDIO i RDMA a čekali na to, až přijde se záplatami. NetCAT je přitom velký problém především pro poskytovatele webových služeb, neboť stačí, aby si někdo pronajal virtuální server v datovém centru, kde stále funguje RDMA a DDIO a má možnost ovládnout všechny ostatní servery a získat veškerá možná data. 

 

 

Studie výše uvedených univerzit také uvádí, že její autoři dle vlastního přesvědčení pouze mírně zabrouzdali do moře možností útoků daných technologiemi pro přístup k pamětem cache prostřednictvím sítě. Očekávají tak, že se v budoucnu objeví další typy vycházející z NetCAT, takže z tohoto pohledu bychom o tomto exploitu mohli uvažovat jako o novém Spectre či Meltdown, jimiž to v případě spekulativních útoků postranním kanálem rovněž ani zdaleka nekončilo. Není tak vyloučeno, že se tato věc nakonec bude týkat i procesorů AMD, ale zatím to neplatí.