英特尔最近宣布针对英特尔®主动管理技术(AMT),英特尔®标准可管理系统(ISM)和英特尔®小型企业技术固件,从版本6至11.6中的漏洞进行固件升级。该漏洞多年来一直存在于英特尔芯片组中,特别是管理引擎(ME)。 ME可以像DRM(数字版权管理)一样运行,可以让TPM(可信平台模块)和AMT一样工作。
关于AMT
AMT使系统管理员可以通过远程连接重新映像裸机。为了实现这一点,AMT需要开启许多权限,从网络访问到写入内存和磁盘。 AMT是硬件,与系统上安装的任何操作系统分开工作。显然,有这么多的权限需要有一些保护,在实际情况中,对AMT的访问受密码保护,但AMT中的漏洞可以绕过密码。
AMT侦听TCP端口16992和16993以接入网络连接。从研究人员到攻击者已经有人报告大量扫描整个互联网可以找到这些端口打开的系统。如果您在任何时候公开地启用了AMT,那么您将面临风险。
检测方法
Nessus的检测方法
Tenable提供了以下几种检测工具来识别易受攻击的服务器。
Nessus插件#97999针对CVE-2017-5689报告中的漏洞进行测试,通过对配置的AMT服务绕过身份验证以确认其易受攻击:
经过认证的Nessus®插件#97997可以检测受英特尔漏洞影响的系统,并提供修复指导:
另一个Nessus插件#97998根据16992端口侦听服务的Banner检测易受攻击的版本。注意,Banner版本并不总是足够细微的,因此在某些情况下可能会导致错误的反馈。但是,它会准确地识别所有易受攻击的系统,因此误报的风险非常低。
PVS
Tenable 被动漏洞扫描®(PVS™)还可以通过插件#6955检测到有AMT运行的主机:
安全中心
SecurityCenter®用户可以开始评估此漏洞的风险,而无需重新扫描网络。 SecurityCenter收集了许多其他插件如服务检测、Banner检测和安装的软件程序。新的INTEL-SA-00075检测仪表板使用所有这些选项和以前收集的数据来识别潜在的易受攻击的系统,然后使用CVE来识别被确认为易受攻击的系统。
仪表板左上角的矩阵标识了当前和修复了的漏洞。扫描您的网络时,找到漏洞并应用补丁,漏洞数量将逐步降低。仪表板还显示了漏洞是否被怀疑,如果怀疑被确认,则使用主动和被动检测方法。
INTEL-SA-00075检测仪表快速帮助您了解您的环境中最直接的风险。
应对缓解
AMT在过去七年中已经存在,大多数从AMT存在以后制造的机器都将面临风险。一旦识别出受到英特尔漏洞影响的服务器,您应该与您的供应商一起查看并修补程序版本 - 固件更新不是自动的,它是每个制造商特有的。较旧的系统显然在几年前就已经停止接收固件更新,所以很可能不会收到此漏洞的修补程序。如果您的供应商没有发布补丁,您可能需要遵循英特尔推荐的缓解措施。
我们建议您立即按照上面的步骤检测以确保您的基础设施安全。否则,此漏洞可能导致远程控制被利用及严重后果。