Intel
Tika konstatēts, ka Intel procesori, kas īpaši izmantoti serveros un lieldatoros, ir neaizsargāti pret drošības trūkumu, kas ļauj uzbrucējiem ielūkoties apstrādājamos datos. Drošības kļūda servera līmeņa Intel Xeon un citos līdzīgos procesoros potenciāli var ļaut uzbrucējiem sākt sānkanāla uzbrukumu, kas var secināt, ar ko strādā centrālais procesors, un iejaukties, lai saprastu un paņemtu datus.
Amsterdamas Vrije universitātes pētnieki ziņoja, ka Intel servera līmeņa procesori cieš no ievainojamības. Viņi ir nodēvējuši trūkumu, kuru var klasificēt kā smagu, kā NetCAT. The ievainojamība paver iespēju uzbrucējiem lai piekļūtu procesoriem, kas darbojas procesos, un secinātu datus. Drošības trūkumu var izmantot attālināti, un uzņēmumi, kas paļaujas uz šiem Intel Xeon procesoriem, var tikai mēģināt samazināt savu serveru un lieldatoru iedarbību, lai ierobežotu uzbrukumu un datu zādzības mēģinājumu iespējas.
Intel Xeon procesori ar ievainojamām DDIO un RDMA tehnoloģijām:
Vrije universitātes drošības pētnieki detalizēti izpētīja drošības ievainojamības un atklāja, ka tiek ietekmēti tikai daži specifiski Intel Zenon procesori. Vēl svarīgāk ir tas, ka šiem procesoriem bija jābūt divām īpašām Intel tehnoloģijām, kuras varētu izmantot. Pēc pētnieku domām, uzbrukumam bija nepieciešamas divas Intel tehnoloģijas, kas galvenokārt atrodamas Xeon CPU līnijā: Data-Direct I / O tehnoloģija (DDIO) un attālā tiešā atmiņas piekļuve (RDMA). Sīkāka informācija par NetCAT ievainojamība ir pieejama pētījumā . Oficiāli NetCAT drošības kļūda ir atzīmēta kā CVE-2019-11184 .
Intel, šķiet, ir atzina drošības ievainojamību dažos Intel Xeon CPU klāstā . Uzņēmums izdeva drošības biļetenu, kurā atzīmēts, ka NetCAT ietekmē Xeon E5, E7 un SP procesorus, kas atbalsta DDIO un RDMA. Precīzāk, pamata problēma ar DDIO ļauj sānu kanālu uzbrukumus. DDIO Intel Zenon procesoros ir izplatījies kopš 2012. gada. Citiem vārdiem sakot, vairāki vecāki servera līmeņa Intel Xeon procesori, kas pašlaik tiek izmantoti serveros un lieldatoros, varētu būt neaizsargāti.
Ir iespējams noteikt kāda cilvēka SSH paroli, kad tā to ievieto terminālā tīklā, izmantojot interesantu Intel tīkla tīkla sānu kanālu ievainojamību, saka infosec guru. https://t.co/X0jZpgCSks Un Intel CPU kļūdas dāvanas turpina nākt.
- labākais Linux emuārs Unixverse (@nixcraft) 2019. gada 10. septembris
No otras puses, Vrije universitātes pētnieki teica, ka RDMA ļauj viņu NetCAT izmantot, lai 'ķirurģiski kontrolētu tīkla pakešu relatīvo atmiņas atrašanās vietu mērķa serverī'. Vienkārši sakot, šī ir vēl viena uzbrukuma klase, kas var ne tikai izsmelt informāciju no procesiem, kuros darbojas centrālie procesori, bet arī ar to pašu manipulēt.
Neaizsargātība nozīmē, ka neuzticamas ierīces tīklā “tagad var nopludināt sensitīvus datus, piemēram, taustiņsitienus SSH sesijā no attāliem serveriem bez vietējas piekļuves”. Lieki piebilst, ka tas ir diezgan nopietns drošības risks, kas apdraud datu integritāti. Starp citu, Vrije universitātes pētnieki šā gada jūnijā bija brīdinājuši ne tikai Intel par drošības ievainojamību Intel Zenon procesoros, bet arī Nīderlandes Nacionālo kiberdrošības centru. Pateicības zīmei un ievainojamības atklāšanas koordinēšanai ar Intel universitāte pat saņēma prēmiju. Precīza summa nav atklāta, taču, ņemot vērā problēmas nopietnību, tā varēja būt ievērojama.
Kā aizsargāties pret NetCAT drošības ievainojamību?
Pašlaik vienīgā drošā metode aizsardzībai pret NetCAT drošības ievainojamību ir DDIO funkcijas pilnīga atspējošana kopumā. Turklāt pētnieki brīdina, ka lietotājiem ar ietekmētajiem Intel Xeon procesoriem jāatspējo arī RDMA funkcija, lai tā būtu droša. Lieki piebilst, ka vairāki sistēmas administratori, iespējams, nevēlas atteikties no DDIO savos serveros, jo tā ir svarīga iezīme.
Intel ir atzīmējis, ka Xeon CPU lietotājiem vajadzētu “ierobežot tiešu piekļuvi no neuzticamiem tīkliem” un izmantot “programmatūras moduļus, kas izturīgi pret laika uzbrukumiem, izmantojot nemainīga laika stila kodu”. Vrije universitātes pētnieki tomēr uzstāj, ka tikai programmatūras modulis var nespēt patiesi aizsargāties pret NetCAT. Tomēr moduļi nākotnē varētu palīdzēt līdzīgā izmantošanā.
Tagi intel
