Les ingénieurs de VUSec, un groupe de sécurité réseaux de l’université libre d’Amsterdam ont découvert un nouveau type de failles sur les processeurs Intel utilisant la fonctionnalité DDIO (Data Direct I/O).

Cette attaque, nommée NetCAT (Network Cache ATtack), apporte la preuve que les attaques par canal latéral en cache réseau constituent une menace réaliste.
Les attaques de cache sont traditionnellement utilisées pour divulguer des données sensibles dans un environnement local (par exemple, depuis une machine virtuelle contrôlée par un attaquant vers une machine virtuelle victime qui partagent le cache CPU sur une plate-forme cloud).
Avec NetCAT, les ingénieurs sécurité de VUSec ont montré que cette menace s’étend aux clients non fiables sur le réseau, qui peuvent désormais divulguer des données sensibles telles que les frappes de touches dans une session SSH depuis des serveurs distants sans accès local. La cause fondamentale de cette vulnérabilité est la fonctionnalité appelée DDIO, qui permet aux équipements réseau et d’autres périphériques d’accéder au cache CPU. Initialement conçu pour optimiser les performances des réseaux très haut débit, VuSec a montré que DDIO comportait de graves problèmes de sécurité, exposant les serveurs dans des réseaux locaux non fiables à des attaques par canal latéral distant.

Intel reconnaît qu’il s’agit d’une vulnérabilité importante. Ils ont attribué une prime à NetCAT et recommandent aux utilisateurs de « limiter l’accès direct à partir de réseaux non fiables lorsque DDIO et RDMA sont activés ».
Cela signifie essentiellement que dans les environnements réseau non fiables, le DDIO et/ou le RDMA doivent être désactivés pour assurer la sécurité. A priori, c’est la première fois qu’un grand fournisseur de matériel comme Intel met en garde contre l’utilisation d’une fonction CPU dans les réseaux locaux non fiables.
La faille est bien réelle mais présente un niveau de complexité de mise en oeuvre relativement élevé.
La vulnérabilité porte la référence CVE-2019-11184.