NetCAT (Network Cache ATtack) : une nouvelle faille sur des CPU Intel Xeon
Le 11 septembre 2019 à 09h32
2 min
Sciences et espace
Sciences
VUSec, un groupe de sécurité des réseaux de l'université libre d'Amsterdam, a publié les détails d'une attaque portant la référence CVE-2019-11184 et le surnom de NetCAT.
Elle touche les familles de processeurs Intel Xeon E5, E7 et SP depuis 2012 disposant de la fonction DDIO (Data-Direct I/O) activée par défaut. Les conséquences peuvent être graves puisque la brèche permet de récupérer « des données sensibles telles que des frappes au clavier dans une session SSH sur des serveurs distants, sans accès local ».
Contrairement aux attaques « side channel » (Meltdown, Spectre et leurs multiples variantes par exemple), il n'est pas nécessaire d'être connecté sur la même machine ; il suffit d'être sur le même réseau local. Tous les détails sont donnés par ici, avec une vidéo explicative.
Intel a reconnu le problème et publié un bulletin de sécurité. La société commence par expliquer que cette faille à « un faible score CVSS de 2,6 » car il faut que DDIO et RDMA soient activés et que le pirate accède au réseau local.
« Dans les scénarios complexes dans lesquels les technologies DDIO et RDMA sont généralement utilisées, tels que des clusters de calcul massivement parallèles, les pirates n'ont généralement pas d'accès direct à partir de réseaux non fiables », ajoute Intel.
Sa recommandation est simple : « Quand DDIO et RDMA sont activés, limitez l’accès direct depuis des réseaux non fiables ». De son côté, VUSec explique comment désactiver DDIO pour bloquer les tentatives, ou à défaut désactiver RDMA pour limiter la portée de la faille.
Le 11 septembre 2019 à 09h32
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/09/2019 à 08h51
Ce chat a tellement l’air de planifier la conquête du monde…
" />
Le 11/09/2019 à 08h55
L’espace d’un instant, j’ai cru qu’ils avaient trouvé une faille dans Netcat 
WikipediaLe choix du nom est plutôt malheureux.
Le 11/09/2019 à 09h14
Le 11/09/2019 à 09h43
Je demande l’avis aux “experts de NXI : AMD est + sécurisé que Intel ou c’est juste une impression?
Le 11/09/2019 à 09h49
Loin d’être un expert mais AMD est moins répandu* donc moins la cible de recherche de faille car serait moins rémunérateur
* je dirais que ca commence à changer, AWS propose du AMD maintenant
Le 11/09/2019 à 11h02
Intel est dans la course de la “moindre optimisation”, et notamment au niveau de l’exécution spéculative et du cache. C’est cette optimisation qui coûte en sécurité.
AMD semble plutôt partisans de se concentrer sur les optimisations d’architectures, et ça irait en général dans le sens de renforcer la sécurité (on dirait, en tout cas).
Maintenant que ce type de failles est connu et “à la mode”, AMD a fait connaître sa volonté de s’en protéger (et ils ont tout intérêt).
Je ne dirai pas que AMD est plus sécurisé que Intel, juste que leur nouvelle architecture Zen arrive au bon moment par rapport aux annonces sur Meltdown/spectre, et au peu d’optimisations qu’ils avaient alors apporté sur Zen à ce moment.
Le 11/09/2019 à 12h23
Merci . :)
Le 11/09/2019 à 12h48
Après, viser du RDMA…. C’est de toutes façons quelque-chose à risque: ça permet à la carte réseau d’accéder directement à la mémoire justement !
Le 11/09/2019 à 16h38
Très belle photo
" />