Intel Xeon Dan CPU Tingkat Server Lainnya Menderita Kerentanan Keamanan NetCAT Yang Memungkinkan Kebocoran Data Melalui DDIO dan RDMA
CPU Intel, terutama yang digunakan di server dan mainframe, ditemukan rentan terhadap kelemahan keamanan yang memungkinkan penyerang mengintip data yang sedang diproses. Bug keamanan dalam Intel Xeon tingkat server dan prosesor serupa lainnya berpotensi memungkinkan penyerang meluncurkan serangan saluran samping yang dapat menyimpulkan apa yang sedang dikerjakan CPU dan campur tangan untuk memahami dan mengambil data.
Peneliti di Vrije University di Amsterdam melaporkan bahwa prosesor tingkat server Intel mengalami kerentanan. Mereka menjuluki cacat tersebut, yang dapat diklasifikasikan sebagai parah, sebagai NetCAT. Itu kerentanan membuka kemungkinan bagi penyerang untuk memanfaatkan proses yang menjalankan CPU dan menyimpulkan data. Cacat keamanan dapat dieksploitasi dari jarak jauh dan perusahaan yang mengandalkan prosesor Intel Xeon ini hanya dapat mencoba meminimalkan eksposur server dan mainframe mereka untuk membatasi kemungkinan serangan dan upaya pencurian data.
CPU Intel Xeon Dengan Teknologi DDIO dan RDMA Rentan:
Peneliti keamanan di Universitas Vrije menyelidiki kerentanan keamanan secara mendetail dan menemukan bahwa hanya beberapa CPU Intel Zenon tertentu yang terpengaruh. Lebih penting lagi, CPU ini harus memiliki dua teknologi Intel tertentu yang dapat dieksploitasi. Menurut para peneliti, serangan tersebut membutuhkan dua teknologi Intel yang ditemukan terutama di lini CPU Xeon: Data-Direct I / O Technology (DDIO) dan Remote Direct Memory Access (RDMA), agar berhasil. Rincian tentang kerentanan NetCAT tersedia di makalah penelitian. Secara resmi, kelemahan keamanan NetCAT telah ditandai sebagai CVE-2019-11184.
Intel tampaknya telah mengakui kerentanan keamanan di beberapa jajaran CPU Intel Xeon. Perusahaan mengeluarkan buletin keamanan yang mencatat NetCAT memengaruhi prosesor Xeon E5, E7, dan SP yang mendukung DDIO dan RDMA. Lebih khusus lagi, masalah mendasar dengan DDIO memungkinkan serangan saluran samping. DDIO telah lazim di CPU Intel Zenon sejak 2012. Dengan kata lain, beberapa CPU Intel Xeon tingkat server lama yang saat ini digunakan di server dan mainframe mungkin rentan.
Di sisi lain, peneliti Universitas Vrije mengatakan bahwa RDMA memungkinkan eksploitasi NetCAT mereka untuk "secara operasi mengontrol lokasi memori relatif dari paket jaringan di server target". Sederhananya, ini adalah kelas serangan lain yang tidak hanya dapat mengendus informasi dari proses yang dijalankan CPU, tetapi juga dapat memanipulasinya.
Kerentanan berarti bahwa perangkat tidak tepercaya di jaringan "sekarang dapat membocorkan data sensitif seperti penekanan tombol dalam sesi SSH dari server jarak jauh tanpa akses lokal". Tak perlu dikatakan, ini adalah risiko keamanan yang cukup parah yang mengancam integritas data. Secara kebetulan, peneliti Universitas Vrije tidak hanya memberi tahu Intel tentang kerentanan keamanan dalam CPU Intel Zenon, tetapi juga Pusat Keamanan Cyber Nasional Belanda pada bulan Juni tahun ini. Sebagai tanda penghargaan dan untuk mengoordinasikan pengungkapan kerentanan dengan Intel, universitas tersebut bahkan menerima hadiah. Jumlah pastinya belum diungkapkan, tetapi mengingat tingkat keparahan masalahnya, jumlahnya bisa jadi sangat besar.
Bagaimana Melindungi Terhadap Kerentanan Keamanan NetCAT?
Saat ini, satu-satunya metode yang terjamin untuk melindungi dari kerentanan keamanan NetCAT adalah dengan menonaktifkan fitur DDIO sepenuhnya. Selain itu, para peneliti memperingatkan bahwa pengguna dengan prosesor Intel Xeon yang terpengaruh juga harus menonaktifkan fitur RDMA agar aman. Tak perlu dikatakan, beberapa administrator sistem mungkin tidak ingin menyerahkan DDIO di server mereka karena ini adalah fitur penting.
Intel telah mencatat bahwa pengguna CPU Xeon harus "membatasi akses langsung dari jaringan yang tidak tepercaya" dan menggunakan "modul perangkat lunak yang tahan terhadap serangan waktu, menggunakan kode gaya waktu konstan". Namun, para peneliti Universitas Vrije bersikeras bahwa modul perangkat lunak belaka mungkin tidak dapat benar-benar melindungi terhadap NetCAT. Modul, bagaimanapun, dapat membantu dengan eksploitasi serupa di masa depan.