A finales de 2011, Intel introdujo una mejora de rendimiento en su línea de procesadores para servidores que permitía que las tarjetas de red y otros periféricos se conectaran directamente a la memoria caché de último nivel de la CPU, en lugar de seguir la ruta estándar (y significativamente más larga) a través de la memoria principal del servidor. Al evitar la memoria del sistema, DDIO de Intel, abreviatura de Data-Direct I/O, aumentó el ancho de banda de entrada/salida y redujo la latencia y el consumo de energía.
Ahora, los investigadores advierten que, en ciertos escenarios, los atacantes pueden abusar de DDIO para obtener pulsaciones de teclas y posiblemente otros tipos de datos confidenciales que fluyen a través de la memoria de servidores vulnerables. La forma más grave de ataque puede tener lugar en centros de datos y entornos de nube que tienen habilitados tanto DDIO como acceso directo a memoria remota para permitir que los servidores intercambien datos. Un servidor arrendado por un hacker malicioso podría abusar de la vulnerabilidad para atacar a otros clientes. Para probar su punto, los investigadores idearon un ataque que permite a un servidor robar pulsaciones de teclas escritas en el SSH protegido (o sesión de shell segura) establecido entre otro servidor y un servidor de aplicaciones.
Simplemente rascando la superficie
Los investigadores han llamado a su ataque NetCAT, abreviatura de Network Cache ATtack. Su investigación está generando un aviso para Intel que recomienda efectivamente apagar DDIO o RDMA en redes que no son de confianza. Los investigadores dicen que los ataques futuros pueden robar otros tipos de datos, posiblemente incluso cuando RDMA no está habilitado. También están aconsejando a los fabricantes de hardware que hagan un mejor trabajo al asegurar las mejoras de la microarquitectura antes de colocarlas en miles de millones de servidores del mundo real.
«Si bien NetCAT es poderoso incluso con suposiciones mínimas, creemos que simplemente hemos arañado la superficie de las posibilidades de ataques de caché basados en la red, y esperamos ataques similares basados en NetCAT en el futuro», dijeron los investigadores de la Vrije Universiteit Amsterdam. y ETH Zurich, escribió en un artículo publicado el martes. «Esperamos que nuestros esfuerzos prevengan a los proveedores de procesadores contra la exposición de elementos microarquitectónicos a periféricos sin un diseño de seguridad completo para evitar abusos».
Los investigadores idearon NetCAT después de aplicar ingeniería inversa a DDIO y descubrir que las memorias caché de último nivel compartían datos entre CPU y periféricos, incluso cuando recibían entradas no confiables o potencialmente maliciosas. Entre las cosas que este recurso compartido divulgó fueron los tiempos de llegada precisos de los paquetes de datos enviados en conexiones confidenciales como SSH. La información les dio a los investigadores un canal secundario que podían usar para deducir el contenido de cada pulsación de tecla.
NetCAT se basa en parte en la observación de que los humanos siguen patrones de escritura en gran parte universales que a menudo pueden revelar pistas sobre las teclas que ingresan en un teclado. Por ejemplo, para la mayoría de las personas suele ser más rápido escribir una «s» inmediatamente después de una «a» que escribir una «g» justo después de escribir una «s». Estos patrones permitieron a los investigadores usar DDIO para llevar a cabo un ataque de temporización de pulsaciones de teclas, similar a este, que utiliza análisis estadísticos de los tiempos entre llegadas de paquetes. A continuación se muestra un video que demuestra el ataque:
NetCAT filtra remotamente las pulsaciones de teclas de una sesión SSH de la víctima.
Los investigadores utilizaron la entrega rápida proporcionada por RDMA para simplificar el ataque, pero no es un requisito estricto y es posible que los ataques futuros no lo necesiten en absoluto. En un correo electrónico, Kaveh Razavi, uno de los investigadores de la Vrije Universiteit que escribió el artículo NetCAT: prácticos ataques de caché desde la redescribió:
En resumen, la causa raíz de la vulnerabilidad se reduce a la función DDIO de Intel que permite compartir la memoria caché de la CPU (último nivel) con periféricos arbitrarios, como tarjetas de red. Esto amplía drásticamente la superficie de ataque de los ataques de canal lateral de caché tradicionales, que normalmente se montan en una configuración local (por ejemplo, de una máquina virtual a otra en la nube), lo que expone a los servidores a la divulgación de canal lateral de caché de clientes que no son de confianza a través de la red. Usando RDMA (por conveniencia), hemos demostrado que la vulnerabilidad se puede explotar en entornos reales para filtrar información confidencial (p. ej., pulsaciones de teclas de una sesión SSH).
CEBAR+SONDA
Para descubrir la información de tiempo del caché de último nivel, los investigadores utilizaron una técnica conocida como PRIME+PROBE. Implica primero preparar el caché al recibir paquetes que se leerán desde ciertas ubicaciones de memoria. El resultado: la técnica lleva el caché a un estado conocido. Luego, el ataque espera a que el cliente SSH de destino escriba una letra. Eso activa la etapa PROBE, que intenta detectar cualquier cambio al recibir los mismos paquetes desde las mismas ubicaciones de memoria.
«Si el cliente ha tecleado una clave, estos paquetes llegarán un poco más lentos, lo que indica una pulsación de tecla», escribió Razavi. «Al ejecutar PRIME+PROBE en bucle, NetCAT puede averiguar cuándo la víctima escribe algo en una conexión de red».
Los investigadores propusieron un segundo escenario de ataque que usa DDIO como un canal encubierto para canalizar datos confidenciales fuera de un servidor. En una variación, el canal encubierto conecta un servidor de destino a un proceso de espacio aislado que coopera sin conexión a la red en una máquina remota. Una segunda variación crea un canal encubierto entre dos clientes de red cooperantes que se ejecutan dentro de dos redes separadas.
Los canales encubiertos son mecanismos que utilizan los atacantes para transferir datos entre procesos o hardware a los que las políticas de seguridad les impiden comunicarse entre sí. Al eludir sigilosamente esta política, los atacantes pueden robar datos confidenciales de una manera que el objetivo no puede detectar.
La investigación es impresionante y la vulnerabilidad que revela es grave. Cualquiera que use procesadores fabricados por Intel dentro de centros de datos u otras redes no confiables debe revisar cuidadosamente la investigación, el aviso de Intel y cualquier aviso del proveedor de la red para asegurarse de que DDIO no represente una amenaza. Las personas también deben ser conscientes de que deshabilitar DDIO tiene un costo de rendimiento significativo. Hasta donde saben los investigadores, los chips de AMD y otros fabricantes no son vulnerables porque no almacenan datos de red en cachés de CPU compartidos.
Al mismo tiempo, la gente debe recordar que la investigación probablemente no se materialice en ataques generalizados en el mundo real en el corto plazo.
«NetCAT es un ataque complejo y es probable que no sea la fruta madura para los atacantes», escribió Razavi. «Sin embargo, en la configuración del servidor con clientes que no son de confianza, donde la seguridad es más importante que el rendimiento, recomendamos que se deshabilite DDIO».
