Un nuevo método para extraer información de un CPU de Intel mantiene preocupados a los administradores de sistemas. Especialistas en ciberseguridad reportaron el hallazgo de una vulnerabilidad de canal lateral en estos dispositivos; a diferencia de otras fallas similares, esta puede ser explotada de forma remota a través de la red, por lo que los hackers no requieren acceso físico al dispositivo o la instalación de algún malware.
De ser explotada, esta vulnerabilidad, nombrada “Ataque de Caché de Red” (NetCAT), permitiría a los actores de amenazas acceder de forma remota a los datos confidenciales del sistema, como contraseñas SSH, desde el caché del CPU Intel.
Un equipo de expertos en ciberseguridad de la Universidad de Vrije, en Países Bajos, es responsable del descubrimiento de NetCAT. En su reporte, los expertos mencionan que la falla reside en Intel Data-Direct I/O, una de las funciones de optimización del rendimiento del sistema; por defecto, esta característica permite que los dispositivos de red tengan acceso al caché del CPU.
Esta característica está habilitada de forma predeterminada en todos los CPUs de grado de servidor de la compañía desde hace casi 8 años, esto incluye a Intel Xeon E5, E7 y SP. “NetCAT funciona de forma similar a otra popular falla de canal lateral (Throwhammer), enviando paquetes de red especialmente diseñados al sistema objetivo, que debe tener habilitada la función de acceso directo a la memoria remota (RDMA)”, mencionan los expertos.
Esta función permite a los hackers espiar los dispositivos periféricos remotos del lado del servidor (tarjetas de red, por ejemplo); gracias a esto los atacantes pueden analizar y determinar las diferencias de tiempo entre los paquetes de red servidos desde el caché del procesador remoto y los paquetes servidos desde la memoria. “Durante una sesión SSH interactiva, cada vez que una tecla es presionada los paquetes de red se transmiten directamente. Cuando las víctimas escriben un caracter dentro de una sesión SSH encriptada, usando NetCAT los hackers pueden extraer los tiempos de ocurrencia de este evento al filtrar el tiempo de llegada del paquete de red”, se menciona en la investigación.
Básicamente, los hackers usan una técnica conocida como “Ataque de tiempo de pulsado de teclas” para extraer lo que la víctima escribe en una sesión SSH privada. Durante las pruebas, los expertos en ciberseguridad descubrieron que NetCAT es hasta 11% menos efectivo que los ataques que dependen del acceso local, no obstante, muestra una tasa de efectividad de hasta 85% para descubrir patrones de pulsación del teclado.
Los ataques de canal lateral se han convertido en una de las principales amenazas para compañías como Intel y los millones de usuarios de sus productos. Anteriormente, otras fallas similares a NetCAT, como Meltdown, Spectre, Foreshadow y TLBLeed han generado innumerables problemas para los administradores de sistemas y la comunidad de la ciberseguridad en general.
Después de recibir el reporte sobre la falla Intel publicó una alerta de seguridad, aunque asegura que esta falla no es grave, pues más que una vulnerabilidad, es un problema de filtración parcial de información. No obstante, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan deshabilitar la función vulnerable para mitigar el riesgo de explotación.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
