Investigadores de ciberseguridad de la Universidad Libre de Ámsterdam y ETH Zurich. Esta vulnerabilidad afecta "únicamente" a los procesadores Intel Xeon E5, E7 y SP que soportan DDIO y RDMA, es decir, su línea de CPUs tope de gama para servidores. Han descubierto una vulnerabilidad crítica que involucraba a DDIO (Direct Data I/O, una tecnología de Intel que promete una mejora de rendimiento. Esta vulnerabilidad permite que los servidores en red comprometidos puedan sufrir un robo de datos de cualquier otra máquina en su red local. Esto incluye la capacidad de obtener las pulsaciones de teclas del teclado.

NetCAT o Network Cache ATtack

 La vulnerabilidad ha sido llamada NetCAT o Network Cache ATtack, nombre muy parecido a la utilidad que usan tanto hackers como administradores de sistemas (Netcat”).

Este efecto se agrava en los centros de datos que no solo tienen DDIO, sino también con el RDMA (acceso directo a memoria remota) habilitado, en el que un solo servidor puede comprometer una red completa. RDMA es un ingrediente clave para mejorar el rendimiento en HPCs y entornos de supercomputación. Intel, en su respuesta inicial, pidió a los clientes que deshabilitaran DDIO y RDMA en sus sistemas con acceso a redes no confiables mientras trabaja en un parche para solucionar el problema

La vulnerabilidad de NetCAT supone un gran problema para los proveedores de alojamiento web. Si un usuario mal intencionado  alquila un servidor en un centro de datos con Remote Direct Memory Access (RDMA), y DDIO habilitado, puede comprometer los servidores de otros clientes y robar sus datos. Los procesadores AMD EPYC no son compatibles con DDIO, por lo que no está afectados


La novedad que presenta NetCAT es que es el primer ataque de caché basado en la red para la L3 de un procesador mediante una máquina remota. La vulnerabilidad rompe la confidencialidad de una sesión SSH desde otra máquina, sin necesidad de ningún software malicioso en el cliente o servidor remoto, lo cual hace que el ataque sea tan peligroso como efectivo y sin llamar la atención en ningún momento.




 Intel fue avisada el 23 de junio de este año y reconoció la vulnerabilidad, la cual ha sido denominada como CVE-2019-11184, siendo publicada a última hora del día de ayer.

NetCAT es capaz de filtrar el “timming” de llegada de los paquetes

La vulnerabilidad es de tal calibre que permite al atacante leer el tiempo de llegada de los paquetes mediante lo que se conoce como “remote cache side channel“.

Esto permite que cada vez que se pulsa una tecla la víctima quede a merced del atacante, pudiendo leer cada registro debido a que cada tecla tiene un tiempo de asignación distinto.

 DDIO (Direct Data I/O)

Tecnología DDIO (Data-Direct I / O) y afecta en exclusiva a las familias Intel Xeon E5, E7 y SP a partir del 2012.
 
DDIO es una tecnología que mejora el rendimiento de dichos procesadores para servidores, ya que permite que ciertos periféricos (como tarjetas de red) lean y/o escriban desde/hacia la caché L3, mejorando con ello el rendimiento ya que no se tenía que pasar por la memoria RAM, ganando rendimiento con ello.



Fuentes:
https://elchapuzasinformatico.com/2019/09/intel-xeon-netcat/
https://hardzone.es/2019/09/11/intel-xeon-vulnerabilidad-netcat/