web-dev-qa-db-ja.com

インテルAMT / ISM / SBTの特権昇格の脆弱性の影響を受けますか?

インテルが説明するセキュリティの脆弱性について読みました ここ

他のサイトでは、Intel Core-i CPUも影響を受けること、および Intel AMTはvPro名と関係がある であると読みました。

そのガイド 影響を受けているかどうかを確認するときに、vProバッジを確認するように求められるので、システムがvProをサポートしているかどうかを確認することから始めました。

Intel's Ark に基づいて Z97チップセット と同様にvPro機能がないデスクトップIntel CPU(4790K)を持っています。そのマシンの脆弱性の影響を受けていないと思いますか?

別のシステムでは、 Intel's Ark によるvPro機能を備えたXeon E3-1220v5 CPUを使用しています。ただし、私が使用している C232チップセット にはvPro機能がありません。ここで、言及された脆弱性から私が安全であると想定することもできますか?

どちらのシステムもLinuxとBSDを実行しています。

8
comfreak

Matthew Garrett-IntelのリモートAMTの脆弱性 に基づいています。これは、これまでに見た(双曲線の量に関して)最も合理的な記事の1つです。のみ影響を受けるifシステムは次の基準の4つすべてを満たしています。

  • アクティブ管理テクノロジーをサポートするCPU
  • AMTをサポートするマザーボードのチップセット
  • サポートされているネットワークハードウェア
  • Management EngineファームウェアにはAMTファームウェアが含まれています

システムが4つすべての基準を満たしているかどうかは保証されませんis影響を受けるが、4つすべてを満たしていない場合はcannot現在知られている脆弱性の影響を受けます。

両方のシステムのチップセットが vPro(AMTの一部) をサポートしていないというあなたの声明に基づいて、どちらも4つの基準をすべて満たしていないため、どちらのシステムも影響を受けないと結論付けることができます。

具体的には、影響を受けるにはvProが必要ですが、vPro対応のハードウェアだけでは影響を受けません。また、システムにはAMTのナットとボルト(ファームウェアなど)がインストールされている必要があります。通常の状況では、システムベンダーがこれを行います。

どうやら、Linuxでは、lspci出力を見てAMTを確認できます。 lspciが説明にMEIを含む通信コントローラーをリストしない場合、AMTは実行されておらず、安全です。

9
a CVn

インテルAMT/ISM/SBTの特権昇格の脆弱性の影響を受けますか?

nmap新しいsriptを提供します: http-vuln-cve2017-5689 システムをスキャンしてAMTの脆弱性を検出します。

Linuxシステムでは、http-vuln-cve2017-5689.nseスクリプトを次の場所にコピーします。

/usr/share/nmap/scripts/次に、nmapデータベースを更新します:nmap --script-updatedb

これを使用するには、次のコマンドを実行します。

nmap -p 16992 --script http-vuln-cve2017-5689 Your_local_IP_system

Nmapドキュメントからの出力例:

PORT      STATE SERVICE       REASON
16992/tcp open  amt-soap-http syn-ack
| http-vuln-cve2017-5689:
|   VULNERABLE:
|   Intel Active Management Technology INTEL-SA-00075 Authentication Bypass
|     State: VULNERABLE
|     IDs:  CVE:CVE-2017-5689  BID:98269
4
GAD3R