Onderzoekers van de VU Amsterdam hebben een nieuwe aanval ontwikkeld tegen Intel-processors die in servers worden gebruikt waarmee een aanvaller via een netwerk toetsaanslagen van SSH-sessies kan stelen. De aanval wordt NetCAT genoemd wat staat voor Network Cache ATtack.

Het is net zoals Meltdown en Spectre een sidechannel-aanval. De aanval is mogelijk door een kwetsbaarheid in een feature van Intel-processors genaamd DDIO. Data-Direct I/O (DDIO) is aanwezig in Intel-serverprocessors en zorgt ervoor dat netwerkapparaten en randapparatuur niet het tragere werkgeheugen hoeven te gebruiken, maar het snelle last-level cachegeheugen.

DDIO werd geïntroduceerd om de prestaties van serverapplicaties in snelle netwerken te verbeteren. Doordat de last-level cache data tussen processor en randapparatuur deelt, biedt het ook een aanvalsoppervlak. Een aanvaller kan door het versturen van netwerkpakketten naar een server op het netwerk de aankomsttijd van de individuele netwerkpakketten van de SSH-sessie van het doelwit achterhalen.

Bij een interactieve SSH-sessie worden toetsaanslagen van de gebruiker direct via netwerkpakketten verstuurd. Via NetCAT kan een aanvaller zien wanneer de pakketten aankomen. De VU-onderzoekers merken op dat mensen onmiskenbare typepatronen hebben. Zo is het typen van de 's' na de 'a' sneller dan het typen van de 'g' na de 's', zo laten ze weten. Via statistische analyse van de aankomsttijd van de pakketjes kan NetCAT bepalen wat een gebruiker binnen een versleutelde SSH-sessie aan het typen is.

Alle serverprocessoren van Intel sinds 2012 zijn kwetsbaar. De chipfabrikant adviseert in een advisory om directe toegang vanaf onbetrouwbare netwerken tot servers waar DDIO en RDMA staan ingeschakeld te beperken. De onderzoekers laten de aanval in onderstaande video zien.