Comment détecter et atténuer l'escalade d'Intel de la vulnérabilité des privilèges sur un système Linux (CVE-2017-5689)?

Le message le plus clair que j'ai vu sur ce problème est Matthew Garrett (y compris les commentaires).

Matthew a maintenant publié A Outil Pour vérifier votre système localement: Construisez-la, exécutez-le avec

Sudo ./mei-amt-check

et il fera rapport si AMT est activé et provisionné, et s'il est, les versions du micrologiciel (voir ci-dessous). Le [~ # ~] README [~ # ~] a plus de détails.

Pour analyser votre réseau pour des systèmes potentiellement vulnérables, les ports de numérisation 623, 624 et 16992 à 16993 (comme décrit dans le document d'atténuation de Intel Document d'atténuation ); par exemple

nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24

scannez le réseau 192.168.1/24 et signalera l'état de tous les hôtes qui répondent. Être capable de se connecter au port 623 peut être un faux positif (d'autres systèmes IPMI utilisent ce port), mais tout port ouvert de 16992 à 16995 est un très bon indicateur d'AMT activé (au moins si elles répondent de manière appropriée: avec AMT, cela signifie Une réponse HTTP sur 16992 et 16993, ce dernier avec TLS).

Si vous voyez des réponses sur des ports 16992 ou 16993, connectez-vous à ceux qui demandent / Utilisation de HTTP renvoient une réponse avec une ligne Server contenant la technologie de gestion active "Intel (R) sur les systèmes avec AMT activée; La même ligne contiendra également la version du micrologiciel AMT utilisé, qui peut ensuite être comparée à la liste indiquée dans Consultatif Intel Pour déterminer s'il est vulnérable.

Voir La réponse de Cerberussec Pour un lien vers un script automatiser ce qui précède.

Il existe deux façons de résoudre le problème "correctement":

• mettre à niveau le micrologiciel, une fois le fabricant de votre système fournit une mise à jour (si jamais);
• évitez d'utiliser le port de réseau fournissant AMT, soit à l'aide d'une interface réseau capable de non-AMT sur votre système, soit à l'aide d'un adaptateur USB (de nombreuses postes de travail AMT, tels que les systèmes C226 Xeon E3 avec des ports réseau I210, n'ont qu'un seul amplement. Interface réseau capable - le reste est en sécurité; notez que AMT peut fonctionner via Wi-Fi, au moins sous Windows, il est donc possible d'utiliser une connexion Wi-Fi intégrée peut également entraîner une compromission).

Si aucune de ces options n'est disponible, vous êtes sur un territoire d'atténuation. Si votre système AMT-Capable n'a jamais été provisionné pour AMT, vous êtes assez sûr. L'activation de l'AMT Dans ce cas ne peut apparemment être effectuée que localement, et autant que je puisse dire nécessite d'utiliser le micrologiciel de votre système ou le logiciel Windows. Si AMT est activé, vous pouvez redémarrer et utiliser le micrologiciel pour le désactiver (appuyez sur CtrlP lorsque le message AMT est affiché pendant le démarrage).

Fondamentalement, alors que la vulnérabilité du privilège est assez méchante, il semble que la plupart des systèmes Intel ne sont pas réellement affectés. Pour vos propres systèmes exécutant Linux ou un autre système d'exploitation de type UNIX, l'escalade nécessite probablement un accès physique au système pour permettre à AMT en premier lieu. (Windows est une autre histoire.) Sur les systèmes avec plusieurs interfaces réseau, comme indiqué par Rui F ribeiro , vous devez traiter les interfaces AMT-Capable de la même manière que vous traitez toute interface administrative (IPMI-Capable, ou l'interface hôte pour un Hyperviseur VM) et l'isolez-le sur un réseau administratif (physique ou VLAN). Vous ne peut pas dépendez-vous sur un hôte pour se protéger: iptables etc. sont inefficaces ici, car AMT voit des paquets avant le système d'exploitation (et garde les paquets AMT à lui-même ).

Les VMS peuvent compliquer les choses, mais seulement en ce sens qu'ils peuvent confondre AMT et produirent ainsi des résultats de balayage déroutant si AMT est activé. amt-howto(7) Donne l'exemple des systèmes Xen où AMT utilise l'adresse donnée à un DHCP sur DHCP, le cas échéant, ce qui signifie qu'une analyse afficherait AMT actif sur le DOMU, non Le DOM0 ...