Décidément, les CPU Intel ainsi que les technologies qui les accompagnent sont de vraies passoires au niveau de la sécurité. Après des failles Spectre et Meltdown (et d’autres entre temps), voici NetCAT. Une faille qui exploite la technologie DDIO d’Intel pour accéder directement aux données sensibles.
NetCAT : une nouvelle faille de sécurité côté Intel…
Pour savoir comment fonctionne la faille, il faut savoir comment fonctionne DDIO. En gros, cette technologie permet à la carte réseau d’avoir un accès direct au cache L3 du CPU. Dans les faits, cela permet d’améliorer les performances en diminuant les latences.
Là où ça devient grave, c’est qu’une personne mal intentionnée peut voler des données sur toutes les machines connectées au serveur. Cette personne passe par la carte réseau et se fraie directement un chemin dans le cache L3 du CPU. Là, il ne lui reste plus qu’à scruter ce qui rentre dedans. Dans une démonstration de 45 secs, on peut voir comment se comporte l’attaque et même voir apparaitre en clair ce que tape la victime dans son terminal via SSH.
Déjà que sur une machine, ce n’est pas folichon, alors imaginez dans un data center ou là technologie RDMA est activée. En gros, RDMA permet donner l’accès à la mémoire d’un PC à un autre PC sur le réseau sans l’intervention du CPU. Si un hacker parvient à s’infiltrer dans un serveur où DDIO et RDMA sont actifs, il peut compromettre tout le réseau.
Bref, Intel a eu vent du papier publié par des chercheurs de Vrije Universiteit Amsterdam et de l’ETH Zurich. La première réaction des bleus a été de conseiller la désactivation de ces technologies en attendant un correctif. Cela étant, désactiver ces fonctions n’est pas un choix envisageable pour tous.
En attendant, cette faille ne se retrouve pas sur les processeurs Epyc d’AMD. La raison est simple : les CPU rouges ne sont pas compatible DDIO ! Mais rappelons que la sécurité est l’un des six piliers d’Intel.
Et bien ! J’ai pas vu un seul autre site (parmi mes favoris. je vais pas scruter tout le net…) en parler ! Merci.
cela montre le côté protectionniste des autres site envers Intel afin de ne pas faire passer les clients chez AMD
Le plus triste en regardant sur les explication du DDIO chez Intel c’est ceci :
Intel Data Direct I/O Technology requires no industry enabling
Intel DDIO is enabled by default on all Intel Xeon processor E5 family and Intel Xeon processor E7 v2 family platforms. Intel DDIO has no hardware dependencies and is invisible to software , requiring no changes to drivers , operating systems, hypervisors, or applications. All I/O devices benefit from Intel DDIO, including Ethernet, InfiniBand*, Fibre Channel, and RAID.
Pour résumer c’est activé par défaut, ne dépends pas du matériel, invisible au logiciels, pas de drivers requis ni de modifications du système ,…..
c’est monstrueux l’impact que cela peux avoir.
ça fait bien longtemps que je ne crois plus à l’indépendance de la presse ^^ :p
Commentaires fermés