%EC%9D%84%20%EA%B0%90%EC%A7%80%ED%95%98%EA%B3%A0%20%EC%99%84%ED%99%94%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
~에 따르면인텔 보안 센터 게시물2017년 5월 1일자 Intel 프로세서에는 공격자가 AMT, ISM 및 SBT를 사용하여 권한(권한 상승)을 얻을 수 있는 심각한 취약점이 존재합니다.
AMT는 컴퓨터의 네트워크 하드웨어에 직접 액세스할 수 있으므로 이 하드웨어 취약점으로 인해 공격자는 모든 시스템에 액세스할 수 있습니다.
Intel® AMT(Active Management Technology), Intel® Standard Manageability(ISM) 및 Intel® Small Business Technology Edition 펌웨어 버전 6.x, 7.x, 8.x 9.x, 10.x에 권한 상승 취약점이 존재합니다. , 11.0, 11.5 및 11.6의 경우 권한 없는 공격자가 이러한 제품에서 제공하는 관리 기능을 제어할 수 있습니다. 이 취약점은 Intel 기반 소비자 PC에는 존재하지 않습니다.
인텔 출시탐지 도구Windows 7 및 10에서 사용 가능합니다. dmidecode -t 4인텔 웹사이트의 정보를 사용했고 Intel® Active Management Technology (Intel® AMT) 8.0.
영향을 받는 제품:
인텔® 액티브 관리 기술, 인텔® 중소기업 기술 및 인텔용 인텔 관리 효율성 펌웨어 버전 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 및 11.6에서 관찰되었습니다. ® 표준 관리 용이성. 6 이전 버전이나 11.6 이후 버전은 영향을 받지 않습니다.
설명하다:
권한 없는 로컬 공격자는 관리 기능을 제공하여 인텔 관리 SKU(인텔® 액티브 관리 기술(AMT), 인텔® 표준 관리 기능(ISM) 및 인텔® 중소기업 기술(SBT))에 대한 권한 없는 네트워크 또는 로컬 시스템 권한을 얻을 수 있습니다.
Linux 시스템에서 인텔 권한 상승 취약성을 쉽게 감지하고 완화하는 방법은 무엇입니까?
답변1
이 문제에 대해 내가 본 가장 명확한 게시물은 다음과 같습니다.매튜 가렛의(댓글 포함).
매튜가 지금 게시했습니다.도구로컬에서 시스템을 확인하세요. 빌드하고 실행하세요.
sudo ./mei-amt-check
AMT가 활성화 및 구성되었는지 여부와 그렇다면 펌웨어 버전을 보고합니다(아래 참조). 이것읽어보기 파일자세한 내용이 있습니다.
네트워크에서 잠재적으로 취약한 시스템을 검색하려면 포트 623, 624, 16992~16993(예: Intel 자체 포트)을 검색하세요.완화 문서);예를 들어
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
192.168.1/24 네트워크가 검색되고 응답 호스트의 상태가 보고됩니다. 포트 623에 연결할 수 있다는 것은 잘못된 긍정일 수 있지만(다른 IPMI 시스템이 해당 포트를 사용함) 16992에서 16995 사이의 열린 포트는 AMT가 활성화되어 있다는 좋은 지표입니다(적어도 적절하게 응답하는 경우: AMT를 사용하면 16992 및 16993에 대한 HTTP 응답(후자는 TLS 사용).
포트 16992 또는 16993에서 응답이 표시되는 경우 AMT 지원 시스템에서 해당 포트에 연결하고 HTTP를 사용하여 요청하면 /"Intel(R) Active Management Technology"가 포함된 줄이 포함된 응답이 반환됩니다 Server. 또한 사용 중인 AMT 펌웨어 버전이 포함되어 있으며, 이는 다음에 제공된 목록과 비교할 수 있습니다.인텔 컨설팅취약한지 확인합니다.
바라보다CerberusSec의 답변위 작업을 자동화하는 스크립트에 대한 링크를 받으세요.
이 문제를 "올바르게" 해결하는 방법에는 두 가지가 있습니다.
- 시스템 제조업체에서 업데이트를 제공하면(사용 가능한 경우) 펌웨어를 업그레이드하십시오.
- AMT를 지원하지 않는 시스템의 네트워크 인터페이스를 사용하거나 USB 어댑터를 사용하여 AMT를 제공하는 네트워크 포트를 사용하지 마십시오(i210 네트워크 포트가 있는 C226 Xeon E3 시스템과 같은 많은 AMT 워크스테이션은 USB 어댑터만 사용 가능). 하나의 AMT 강력한 네트워크 인터페이스 - 나머지는 안전합니다. AMT는 적어도 Windows에서는 Wi-Fi를 통해 작동하므로 내장 Wi-Fi를 사용하면 손상될 수도 있습니다.
두 옵션 모두 사용할 수 없으면 완화 영역에 있는 것입니다. AMT 지원 시스템이 AMT로 구성된 적이 없다면 매우 안전합니다. 이 경우 AMT를 활성화하는 것은 분명히 로컬에서만 수행할 수 있으며 제가 아는 한 시스템의 펌웨어나 Windows 소프트웨어를 사용해야 합니다. AMT가 활성화된 경우 재부팅하고 펌웨어를 사용하여 비활성화할 수 있습니다( CtrlP부팅 중에 AMT 메시지가 표시되면 누릅니다).
기본적으로 권한 취약점은 상당히 심각하지만 대부분의 인텔 시스템은 실제로 영향을 받지 않는 것으로 보입니다. Linux 또는 기타 Unix 계열 운영 체제를 실행하는 시스템의 경우 업그레이드 시 AMT를 먼저 활성화하려면 시스템에 물리적으로 액세스해야 할 수도 있습니다. (Windows는 또 다른 이야기입니다.) 언급한 대로 여러 네트워크 인터페이스가 있는 시스템에서레이 F. 리베이로, AMT 지원 인터페이스를 관리 인터페이스(IPMI 또는 VM 하이퍼바이저를 지원하는 호스트 인터페이스)처럼 처리하고 이를 관리 네트워크(물리적 또는 VLAN)에서 격리해야 합니다. 너할 수 없다호스트에 의존하여 자신을 보호하는 iptables등의 작업은 AMT가 OS보다 먼저 패킷을 확인하고 AMT 패킷을 자체적으로 유지하므로 여기서는 작동하지 않습니다.
가상 머신은 상황을 복잡하게 만들 수 있지만 AMT를 혼란스럽게 하여 AMT가 활성화된 상태에서 혼란스러운 검사 결과를 생성할 수 있는 경우에만 가능합니다.amt-howto(7)AMT가 DHCP(사용 가능한 경우)를 통해 DomU에 제공된 주소를 사용하는 Xen 시스템의 예가 제공됩니다. 즉, 스캔에는 Dom0이 아닌 DomU에서 AMT 활성이 표시됩니다.
답변2
단순히 서비스에 대해 열려 있는 포트를 감지하는 것만으로는 버전이 영향을 받는지 여부를 나타내지 않습니다. 우리 팀은 GitHub 저장소에서 사용할 수 있는 Python 스크립트를 만들었습니다.케르베로스 보안/CVE-2017-5689대상 시스템이 원격 공격에 취약한지 탐지합니다.
사용 예:
python CVE_2017_5689_detector.py 10.100.33.252-255
이를 통해 원격으로 악용할 수 있는지 확인할 수 있습니다.
답변3
Intel에는 Linux용 도구가 있습니다.Linux 탐지 및 완화 도구.
그 안에 포크가 들어있어요GitHub.