NetCAT：新攻击允许黑客远程窃取英特尔CPU的数据

网猫，是网络缓存攻击的缩写，这种新的基于网络的侧通道漏洞可让远程攻击者从英特尔的CPU缓存中嗅出敏感数据，如某人的SSH密码。

该漏洞由阿姆斯特丹Vrije大学的一组安全研究人员发现，被追踪为CVE-2019-11184，存在于名为英特尔DDIO—的性能优化功能中；数据直接输入/输出—；它在设计上允许网络设备和其他外围设备访问CPU缓存。

自2012年以来，DDIO默认在所有英特尔服务器级处理器上启用，包括英特尔至强E5、E7和SP系列。

根据研究人员[论文]的说法，NetCAT攻击的工作原理与Throwhammer类似，它只向启用了远程直接内存访问（RDMA）功能的目标计算机发送精心编制的网络数据包。

RDMA使攻击者能够监视远程服务器端外围设备（如网卡），并观察从远程处理器缓存提供的网络数据包与从内存提供的数据包之间的时间差。


这里的想法是执行击键计时分析，根据时间信息使用机器学习算法恢复受害者键入的单词。

VUSec团队解释说：“在交互式SSH会话中，每次按键时，都会直接传输网络数据包。因此，每次受害者在控制台上的加密SSH会话中键入字符时，NetCAT都会泄露相应网络数据包的到达时间，从而泄露事件的时间。”。

“现在，人类有不同的键入模式。例如，在‘a’之后键入‘g’比在‘a’之后键入‘g’更快。因此，NetCAT可以在所谓的击键计时攻击中对数据包的到达时间进行静态分析，以泄露您在私人SSH会话中键入的内容。”

“与本地攻击者相比，NetCAT通过网络发起的攻击发现SSH数据包的内部到达，其真实阳性率为85%，从而使发现的击键准确率平均降低了11.7%。”

VUSec团队还发布了一段视频，如上图所示，演示了一种在共享服务器上实时监视SSH会话的方法。

NetCAT成为新的侧通道漏洞，加入了去年发现的其他危险侧通道漏洞列表，包括熔毁和幽灵、TLBleed、Foreshadow、SWAPGS和PortSmash。

英特尔在其公告中承认了这一问题，并建议用户要么完全禁用DDIO，要么至少禁用RDMA，以加大此类攻击的难度，要么建议用户限制从不受信任的网络直接访问服务器。

该公司将NetCAT漏洞的严重性评级为“低”，将其描述为部分信息披露问题，并向VUSec团队颁发了一笔奖金，奖励其进行负责任的披露。