NetCAT: CPU-Sicherheitslücke betrifft Intels Server-Prozessoren
Intels Xeon-Prozessoren lassen sich über die Netzwerkfunktionen DDIO und RDMA angreifen, um zum Beispiel über SSH-Sitzungen Tastatureingaben auszulesen.
Auch Intels aktuelle Server-CPUs wie der Xeon Platinum 8280 sind von NetCAT betroffen.
(Bild: c't)
Forscher der Vrije Universität Amsterdam haben einen weiteren Seitenkanalangriff auf Intel-Prozessoren ausgearbeitet, der die Server-CPUs seit der Sandy-Bridge-EP-Generation (Xeon E5-2600/2400) von 2012 betrifft.
NetCAT, kurz für Network Cache ATtack, mit der CVE-Nummer CVE-2019-11184 nutzt die Funktion Data-Direct I/O (DDIO) aus, bei der Netzwerk-Controller Daten direkt in den schnellen L3-Cache der Intel-Prozessoren schreiben. Das Feature beschleunigt netzwerklastige Anwendungen, bei denen der Arbeitsspeicher ansonsten limitieren würde.
NetCAT ähnelt dabei der im Mai 2019 publik gewordenen Sicherheitslücke ZombieLoad, die ebenfalls auf Intel zugeschnitten ist und einen Seitenkanalangriff darstellt. Da es sich um eine Intel-Funktion handelt, sind AMD und andere Chiphersteller nicht von NetCAT betroffen.
Anwendungsfall SSH
Über ein infiziertes System innerhalb eines Netzwerks erkennen Angreifer, wenn über DDIO Netzwerkdaten in den L3-Cache einer CPU geschrieben werden. Den Inhalt können Angreifer nicht auslesen, dafür aber die zeitlichen Abstände der Schreibbefehle.
In einer SSH-Sitzung lassen sich dadurch Rückschlüsse auf den geschriebenen Text ziehen: Jeder Tastenanschlag sendet ein Netzwerkpaket. Software kann das Schreibverhalten des Anwenders analysieren und über die zeitlichen Abstände zwischen den Eingaben die Position der Taste und somit den Buchstaben ermitteln.
Über die CPU-Funktion Remote Direct Memory Access (RDMA) haben Prozessoren innerhalb eines Netzwerks einen gemeinsamen Speicherzugriff, sodass ein infiziertes System alle CPUs innerhalb eines Netzwerks angreifen kann.
Geringes Sicherheitsrisiko laut Intel
Das VUSec-Forscherteam hat Intel im Juni 2019 auf die Sicherheitslücke aufmerksam gemacht. Intel stuft das Sicherheitsrisiko als gering ein (INTEL-SA-00290; CVSS-Score 2,6). Gegenüber der Webseite ZDNet führt der Chiphersteller aus, dass Angreifer "typischerweise" keinen direkten Zugriff von einem nicht vertrauenswürdigen ("untrusted") Netzwerk hätten.
Intel empfiehlt Server-Betreibern, die Zugriffsrechte innerhalb des Netzwerks einzuschränken oder die Funktionen DDIO und RDMA zu deaktivieren. (mma)
