Linuxシステム（CVE-2017-5689）でIntelの特権昇格の脆弱性を検出して軽減する方法は？

2017年5月1日付のIntelセキュリティセンターの投稿によると、Intelプロセッサに重大な脆弱性があり、攻撃者がAMT、ISM、およびSBTを使用して特権（特権の昇格）を取得する可能性があります。

AMTはコンピューターのネットワークハードウェアに直接アクセスするため、このハードウェアの脆弱性により、攻撃者は任意のシステムにアクセスできます。

Intel®Active Management Technology（AMT）、Intel®Standard Manageability（ISM）、およびIntel®Small Business Technologyバージョンファームウェアバージョン6.x、7.x、8.x 9.x、10に特権の昇格の脆弱性があります.x、11.0、11.5、および11.6。これらは、特権のない攻撃者がこれらの製品が提供する管理機能を制御できるようにします。この脆弱性は、IntelベースのコンシューマPCには存在しません。

インテルは、Windows 7および10で使用可能な検出ツールをリリースしました。dmidecode -t 4インテルのWebサイトで情報を検索し、使用していIntel® Active Management Technology (Intel® AMT) 8.0ます。

影響を受ける製品：

この問題は、Intel®Active Management Technology、Intel®Small Business Technology、およびIntelのIntel管理容易性ファームウェアバージョン6.x、7.x、8.x 9.x、10.x、11.0、11.5、および11.6で確認されています®標準の管理性。6より前または11.6より後のバージョンは影響を受けません。

説明：

特権のないローカルの攻撃者は、Intelの管理性SKU（Intel®Active Management Technology（AMT）、Intel®Standard Manageability（ISM）、およびIntel®Small Business Technology（SBT））で非特権ネットワークまたはローカルシステムの特権を取得する管理機能をプロビジョニングできます

LinuxシステムでIntelの特権昇格の脆弱性を簡単に検出して軽減するにはどうすればよいですか？

この問題に関して私が見た最も明確な投稿は、Matthew Garrettの投稿です（コメントを含む）。

Matthewはシステムをローカルでチェックするツールをリリースしました：ビルドして、実行します

sudo ./mei-amt-check

また、AMTが有効でプロビジョニングされているかどうか、および有効になっている場合はファームウェアバージョンを報告します（以下を参照）。READMEには、より多くの詳細を持っています。

潜在的に脆弱なシステムのネットワークをスキャンするには、ポート623、624、および16992〜16993をスキャンします（Intel自身の緩和ドキュメントに記載されています）。例えば

nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24

192.168.1 / 24ネットワークをスキャンし、応答するすべてのホストのステータスを報告します。ポート623に接続できることは誤検知である可能性があります（他のIPMIシステムはそのポートを使用します）が、16992から16995までの開いているポートは有効なAMTの非常に良い指標です（少なくとも適切に応答する場合：AMTでは、 16992および16993でのHTTP応答、後者はTLSを使用）。

ポート16992または16993で応答が表示される場合、それらに接続し/てHTTP を使用して要求すると、ServerAMTが有効になっているシステムで「Intel（R）Active Management Technology」を含む行で応答が返されます。その同じ行には、使用中のAMTファームウェアのバージョンも含まれます。これは、Intelのアドバイザリに記載されているリストと比較して、脆弱かどうかを判断できます。

上記を自動化するスクリプトへのリンクについては、CerberusSecの回答を参照してください。

この問題を「適切に」修正する方法は2つあります。

• システムの製造元からアップデートが提供されたら、ファームウェアをアップグレードします（ある場合）。
• システムでAMT非対応のネットワークインターフェースを使用するか、USBアダプターを使用して、AMTを提供するネットワークポートを使用しないでください（i210ネットワークポートを備えたC226 Xeon E3システムなどの多くのAMTワークステーションには、可能なネットワークインターフェース—残りは安全です。AMTは少なくともWindowsでwi-fiを介して動作するため、組み込みのwi-fiを使用すると妥協する可能性があることに注意してください。

これらのオプションのいずれも使用できない場合は、緩和領域にいます。AMT対応システムがAMT用にプロビジョニングされたことがない場合は、かなり安全です。その場合のAMTの有効化は、明らかにローカルでのみ可能であり、私が知る限り、システムのファームウェアまたはWindowsソフトウェアを使用する必要があります。AMTが有効になっている場合は、再起動し、ファームウェアを使用して無効にすることができます（CtrlP起動中にAMTメッセージが表示されたら押す）。

基本的に、特権の脆弱性は非常に厄介ですが、ほとんどのIntelシステムは実際には影響を受けていないようです。Linuxまたは別のUnixライクなオペレーティングシステムを実行している独自のシステムでは、最初にAMTを有効にするために、エスカレーションにシステムへの物理的なアクセスが必要になる可能性があります。（Windowsは別の話です。）Rui F Ribeiroが指摘したように、複数のネットワークインターフェイスを備えたシステムでは、管理インターフェイス（IPMI対応、またはホストインターフェイスと同様）でAMT対応インターフェイスを扱う必要があります。 VMハイパーバイザーの場合）、管理ネットワーク（物理またはVLAN）で分離します。ホストに依存して自分自身を保護することはできませんiptables。AMTはオペレーティングシステムが実行する前にパケットを確認する（そしてAMTパケットを自身に保持する）ため、ここでは効果がありません。

VMは問題を複雑にしますが、AMTが混乱し、AMTが有効になっている場合に混乱するスキャン結果を生成できるという意味でのみです。amt-howto(7)DHCPを介してDomUに与えられたアドレスをAMTが使用するXenシステムの例を示します。これは、スキャンがDom0ではなくDomUでアクティブなAMTを表示することを意味します。

このサービスの開いているポートを検出するだけでは不十分であり、バージョンが影響を受けるかどうかを示すものではありません。私たちのチームは、ターゲットシステムがリモート攻撃に対して脆弱かどうかを検出するgithub：CerberusSecurity / CVE-2017-5689で利用可能なpythonスクリプトを作成しました。

サンプル使用法：

python CVE_2017_5689_detector.py 10.100.33.252-255

これにより、リモートで悪用可能かどうかを確認できるようになります。興味のある方は、http：//cerberussec.org/にこの脆弱性を取り上げた短いブログ投稿も作成しました。

IntelにはLinux用のツールがあります：Linux検出および軽減ツール

GITHUBにフォークがあります