~によるとインテルセキュリティセンターの投稿2017 年 5 月 1 日 Intel プロセッサには、攻撃者が AMT、ISM、および SBT を使用して権限(特権の昇格)を取得する可能性がある重大な脆弱性が存在します。
AMTはコンピュータのネットワークハードウェアに直接アクセスできるため、このハードウェアの脆弱性により、攻撃者はすべてのシステムにアクセスする可能性があります。
Intel® Active Management Technology (AMT)、Intel® Standard Manageability (ISM)、および Intel® Small Business Technology Edition ファームウェアバージョン 6.x、7.x、8.x 9.x、10.x に特権の昇格の脆弱性が存在します。 。 、11.0、11.5、11.6では、権限のない攻撃者がこれらの製品によって提供される管理機能を制御できます。この脆弱性はIntelベースの消費者PCには存在しません。
インテルリリース検出ツールWindows 7および10で利用可能です。dmidecode -t 4インテルのウェブサイトの情報を使用したIntel® Active Management Technology (Intel® AMT) 8.0。
影響を受ける製品:
インテル®アクティブ管理技術、インテル®中小企業技術、およびインテル向けのインテル管理効率ファームウェアバージョン6.x、7.x、8.x 9.x、10.x、11.0、11.5、および11.6で観察されました。 ®標準管理の容易さ。 6以前または11.6以降のバージョンは影響を受けません。
説明する:
権限のないローカル攻撃者は、管理機能を提供し、インテル管理インテリジェントアクティブ管理技術(AMT)、インテル®標準管理機能(ISM)、およびインテル®中小企業テクノロジー(SBT)(SKU)に対する無許可ネットワークまたはローカルシステム権限を提供します。得ることができます。
LinuxシステムでIntel特権の昇格の脆弱性を簡単に検出して軽減する方法は?
ベストアンサー1
この問題について私が見た最も明確な投稿は次のとおりです。マシュー・ガレット(コメントを含む)。
Matthewが今投稿しました。ツールローカルでシステムを確認してください。ビルドして実行します。
sudo ./mei-amt-check
AMTが有効になって構成されているかどうか、その場合はファームウェアバージョンを報告します(下記参照)。これ閲覧ファイル詳細があります。
ネットワークで潜在的に脆弱なシステムを検索するには、ポート623、624、16992〜16993(Intel独自のポートなど)を検索してください。緩和文書);例えば
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
192.168.1/24 ネットワークが検索され、応答ホストの状態が報告されます。ポート623に接続できることは間違っていると思われますが(他のIPMIシステムはそのポートを使用します)、16992から16995の間のオープンポートはAMTが有効になっているという良い指標です(少なくとも適切に応答する場合:AMTを使用すると、 16992および16993に対するHTTP応答(後者はTLSを使用)。
ポート16992または16993で応答が表示された場合、AMT対応システムはそのポートに接続してHTTPを使用して要求すると、/「Intel(R)Active Management Technology」を含む行を含む応答が返されますServer。また、使用しているAMTファームウェアのバージョンも含まれています。これは、次のリストと比較できます。インテルコンサルティング脆弱であることを確認してください。
バラよりCerberusSecの答え上記のタスクを自動化するスクリプトへのリンクを取得します。
この問題を「正しく」解決する方法は2つあります。
- システム製造元がアップデートを提供したら(利用可能な場合)、ファームウェアをアップグレードしてください。
- AMTをサポートしていないシステムのネットワークインタフェースを使用したり、USBアダプタを使用してAMTを提供するネットワークポートを使用したりしないでください(i210ネットワークポートを備えたC226 Xeon E3システムなど、多くのAMTワークステーションはUSBアダプタのみ利用可能です) 。 1つのAMT強力なネットワークインターフェイス - 残りは安全です。 AMTは少なくともWindowsではWi-Fi経由で動作するため、内蔵Wi-Fiを使用すると破損する可能性があります。
両方のオプションが利用できない場合は、緩和領域にあります。 AMTサポートシステムがAMTで構成されていない場合は、非常に安全です。この場合、AMTを有効にすることは明らかにローカルでのみ行うことができ、私が知っている限り、システムのファームウェアまたはWindowsソフトウェアを使用する必要があります。 AMTが有効になっている場合は、再起動してファームウェアを使用して無効にできます(CtrlP起動中にAMTメッセージが表示されたらタップ)。
基本的に、権限の脆弱性はかなり深刻ですが、ほとんどのIntelシステムは実際には影響を受けないようです。 Linuxまたは他のUnixファミリーオペレーティングシステムを実行しているシステムの場合、アップグレード時にAMTを最初に有効にするには、システムに物理的にアクセスする必要があります。 (Windowsは別の話です。)前述のように、複数のネットワークインターフェイスを持つシステムレイF.リベイロ、AMT対応インターフェースを管理インターフェース(IPMIまたはVMハイパーバイザーをサポートするホストインターフェース)のように処理し、それを管理ネットワーク(物理またはVLAN)から分離する必要があります。あなたできないホストに依存して自分自身を保護するiptablesなどの操作は、AMTがOSの前にパケットを確認し、AMTパケットを独自に保持するため、ここでは機能しません。
仮想マシンは状況を複雑にする可能性がありますが、AMTを混乱させて、AMTが有効になっていると混乱した検査結果を生成できる場合にのみ可能です。amt-howto(7)AMTがDHCP(利用可能な場合)を介してDomUに提供されたアドレスを使用するXenシステムの例があります。つまり、スキャンでは、Dom0 ではなく、DomU での AMT アクティブが表示されます。