新型態NetCAT攻擊可竊取英特爾伺服器CPU資料

荷蘭阿姆斯特丹自由大學的系統暨網路安全組織VUSec，在本周揭露了名為NetCAT的安全漏洞與攻擊行動，將允許駭客自遠端存取英特爾伺服器CPU的快取內容，包含鍵擊等機密資訊。

NetCAT漏洞的基礎，為英特爾專為伺服器等級處理器所設計的Data-Direct I/O（DDIO）效能改善技術，該技術讓周邊設備能夠直接讀取CPU的快取而非記憶體，目的在於改善伺服器應用的效能。

VUSec研究人員解釋，啟用DDIO的應用伺服器上在CPU核心與網路卡之間，有一個稱為末級快取（the last-level cache）的共享資源，他們針對DDIO進行反向攻擊以理解該快取的共享方式，再經由網路與快取旁路攻擊，自快取汲取機密資訊。

研究人員利用了遠端直接記憶體存取（RDMA）技術，以控制目標伺服器上網路封包的記憶體相對位置，以簡化攻擊流程，並成功打造出NetCAT攻擊程式。

值得注意的是，傳統的快取攻擊只能外洩本地端設定中的資料，但NetCAT則可透過網路將威脅擴展到不可靠的客戶端，因此能從遠端伺服器存取SSD期間的機密資料，像是鍵擊等。

2012年以後的英特爾伺服器處理器上的DDOS預設值都是開啟的，顯示自該年之後的Intel Xeon E5、E7與SP系列的伺服器處理器都受到影響。

VUSec在今年6月將此一漏洞的細節提交給英特爾，獲得了英特爾的抓漏獎勵，也讓NetCAT有了正式的CVE-2019-11184漏洞編號。研究人員建議採用英特爾伺服器平台的雲端業者最好關閉DDOS，或至少該關閉RDMA功能。