Linuxシステム(CVE-2017-5689)でIntelの特権昇格の脆弱性を検出して軽減する方法は?


26

2017年5月1日付のIntelセキュリティセンターの投稿によると、Intelプロセッサに重大な脆弱性があり、攻撃者がAMT、ISM、およびSBTを使用して特権(特権の昇格)を取得する可能性があります。

AMTはコンピューターのネットワークハードウェアに直接アクセスするため、このハードウェアの脆弱性により、攻撃者は任意のシステムにアクセスできます。

Intel®Active Management Technology(AMT)、Intel®Standard Manageability(ISM)、およびIntel®Small Business Technologyバージョンファームウェアバージョン6.x、7.x、8.x 9.x、10に特権の昇格の脆弱性があります.x、11.0、11.5、および11.6。これらは、特権のない攻撃者がこれらの製品が提供する管理機能を制御できるようにします。この脆弱性は、IntelベースのコンシューマPCには存在しません。

インテルは、Windows 7および10で使用可能な検出ツールをリリースしました。dmidecode -t 4インテルのWebサイトで情報を検索し、使用していIntel® Active Management Technology (Intel® AMT) 8.0ます。

影響を受ける製品:

この問題は、Intel®Active Management Technology、Intel®Small Business Technology、およびIntelのIntel管理容易性ファームウェアバージョン6.x、7.x、8.x 9.x、10.x、11.0、11.5、および11.6で確認されています®標準の管理性。6より前または11.6より後のバージョンは影響を受けません。

説明:

特権のないローカルの攻撃者は、Intelの管理性SKU(Intel®Active Management Technology(AMT)、Intel®Standard Manageability(ISM)、およびIntel®Small Business Technology(SBT))で非特権ネットワークまたはローカルシステムの特権を取得する管理機能をプロビジョニングできます

LinuxシステムでIntelの特権昇格の脆弱性を簡単に検出して軽減するにはどうすればよいですか?


1
私たちの多くがVMを使用している場合、ケースはさらに複雑になります。実際のマシンの場合、UDP 16992でサービスの存在をスキャンするだけで十分ですか?+1
ルイFリベイロ

2
予防手順:SPARCを使用します(実行可能な解決策ではないことを知っています)。+1持って
フォックス

3
@Foxは、IntelプロセッサのME CPUが最近のSPARCであることに驚いたほどです;-)。
スティーブンキット

2
@StephenKitt本当に?Intelのチップに対する私のスタンスを再考する必要があるかもしれません!ほとんどすべての私のマシンのは、PPCまたはSPARCているので、私は私のバイアスが本当である認めざるを得ない
フォックス

回答:


18

この問題に関して私が見た最も明確な投稿は、Matthew Garrettの投稿です(コメントを含む)。

Matthewはシステムをローカルでチェックするツールをリリースしました:ビルドして、実行します

sudo ./mei-amt-check

また、AMTが有効でプロビジョニングされているかどうか、および有効になっている場合はファームウェアバージョンを報告します(以下を参照)。READMEには、より多くの詳細を持っています。

潜在的に脆弱なシステムのネットワークをスキャンするには、ポート623、624、および16992〜16993をスキャンします(Intel自身の緩和ドキュメントに記載されています)。例えば

nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24

192.168.1 / 24ネットワークをスキャンし、応答するすべてのホストのステータスを報告します。ポート623に接続できることは誤検知である可能性があります(他のIPMIシステムはそのポートを使用します)が、16992から16995までの開いているポートは有効なAMTの非常に良い指標です(少なくとも適切に応答する場合:AMTでは、 16992および16993でのHTTP応答、後者はTLSを使用)。

ポート16992または16993で応答が表示される場合、それらに接続し/てHTTP を使用して要求すると、ServerAMTが有効になっているシステムで「Intel(R)Active Management Technology」を含む行で応答が返されます。その同じ行には、使用中のAMTファームウェアのバージョンも含まれます。これは、Intelのアドバイザリに記載されているリストと比較して、脆弱かどうかを判断できます。

上記を自動化するスクリプトへのリンクについては、CerberusSecの回答を参照してください。

この問題を「適切に」修正する方法は2つあります。

  • システムの製造元からアップデートが提供されたら、ファームウェアをアップグレードします(ある場合)。
  • システムでAMT非対応のネットワークインターフェースを使用するか、USBアダプターを使用して、AMTを提供するネットワークポートを使用しないでください(i210ネットワークポートを備えたC226 Xeon E3システムなどの多くのAMTワークステーションには、可能なネットワークインターフェース—残りは安全です。AMTは少なくともWindowsでwi-fiを介して動作するため、組み込みのwi-fiを使用すると妥協する可能性があることに注意してください。

これらのオプションのいずれも使用できない場合は、緩和領域にいます。AMT対応システムがAMT用にプロビジョニングされたことがない場合は、かなり安全です。その場合のAMTの有効化は、明らかにローカルでのみ可能であり、私が知る限り、システムのファームウェアまたはWindowsソフトウェアを使用する必要があります。AMTが有効になっている場合は、再起動し、ファームウェアを使用して無効にすることができます(CtrlP起動中にAMTメッセージが表示されたら押す)。

基本的に、特権の脆弱性は非常に厄介ですが、ほとんどのIntelシステムは実際には影響を受けていないようです。Linuxまたは別のUnixライクなオペレーティングシステムを実行している独自のシステムでは、最初にAMTを有効にするために、エスカレーションにシステムへの物理的なアクセスが必要になる可能性があります。(Windowsは別の話です。)Rui F Ribeiroが指摘したように、複数のネットワークインターフェイスを備えたシステムでは、管理インターフェイス(IPMI対応、またはホストインターフェイスと同様)でAMT対応インターフェイスを扱う必要があります。 VMハイパーバイザーの場合)、管理ネットワーク(物理またはVLAN)で分離します。ホストに依存して自分自身を保護することはできませんiptables。AMTはオペレーティングシステムが実行する前にパケットを確認する(そしてAMTパケットを自身に保持する)ため、ここでは効果がありません

VMは問題を複雑にしますが、AMTが混乱し、AMTが有効になっている場合に混乱するスキャン結果を生成できるという意味でのみです。amt-howto(7)DHCPを介してDomUに与えられたアドレスをAMTが使用するXenシステムの例を示します。これは、スキャンがDom0ではなくDomUでアクティブなAMTを表示することを意味します。


マシン上のLinuxからAMTを検出するローカルな方法はありませんか?/proc/cpuinfoまたはを使用しdmidecodeますか?
ドルメン

つまり、システムがこれらのポートのいずれにも応答しない場合、この脆弱性から安全であると考えられますか、それともローカルで悪用される可能性がありますか?
-comfreak

ラップトップでの軽減は、組み込みの代わりにUSB NICを使用するという形をとることができます。
マイケルモール

1
「少なくともWindowsでは、AMTはwi-fiで動作できることに注意してください」と書きます。この脆弱性はOSとは無関係に機能すると思いましたか?
ウルテル

1
@wurtel脆弱性は有線インターフェースではOSに依存しませんが、wi-fi AMTでは実行中のOSドライバーからの協力が必要と思われます:パケットをインターセプトせず、OSが適切なパケットを転送することに依存しています(理解しているとおり) —私は物事のこの側面をテストしていないことに注意してください)。
スティーブンキット

8

このサービスの開いているポートを検出するだけでは不十分であり、バージョンが影響を受けるかどうかを示すものではありません。私たちのチームは、ターゲットシステムがリモート攻撃に対して脆弱かどうかを検出するgithub:CerberusSecurity / CVE-2017-5689で利用可能なpythonスクリプトを作成しました。

サンプル使用法:

python CVE_2017_5689_detector.py 10.100.33.252-255

これにより、リモートで悪用可能かどうかを確認できるようになります。興味のある方は、http://cerberussec.org/にこの脆弱性を取り上げた短いブログ投稿も作成しました。


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.