Linux 시스템 (CVE-2017-5689)에서 Intel 에스컬레이션 권한 상승 취약점을 탐지하고 완화하는 방법은 무엇입니까? Manageability (ISM) 및 Intel® Small

2017 년 5 월 1 일 게시인텔 보안 센터 에 따르면 공격자가 AMT, ISM 및 SBT를 사용하여 권한 (권한 상승)을 얻을 수있는 인텔 프로세서에 치명적인 취약점이 있습니다.

AMT는 컴퓨터의 네트워크 하드웨어에 직접 액세스 할 수 있으므로이 하드웨어 취약점으로 인해 침입자가 모든 시스템에 액세스 할 수 있습니다.

Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) 및 Intel® Small Business Technology 버전 펌웨어 버전 6.x, 7.x, 8.x 9.x, 10에는 권한 상승 취약점이 있습니다. .x, 11.0, 11.5 및 11.6-권한이없는 공격자가 이러한 제품에서 제공하는 관리 기능을 제어 할 수 있습니다. 이 취약점은 인텔 기반 소비자 PC에는 존재하지 않습니다.

인텔은 Windows 7 및 10에 사용할 수 있는 검색 도구를 출시했습니다 . dmidecode -t 4인텔 웹 사이트 에서 정보를 검색하고 검색하여 프로세서에서 사용하는 것으로 나타났습니다 Intel® Active Management Technology (Intel® AMT) 8.0.

영향을받는 제품 :

인텔 ® 관리 기술, 인텔 ® 소규모 비즈니스 기술 및 인텔의 인텔 관리 효율성 펌웨어 버전 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 및 11.6에서이 문제가 발견되었습니다. ® 표준 관리 효율성. 6 이전 또는 11.6 이후 버전은 영향을받지 않습니다.

설명 :

권한이없는 로컬 공격자는 인텔 관리 효율성 SKU에 대한 권한없는 네트워크 또는 로컬 시스템 권한을 얻는 관리 기능을 제공 할 수 있습니다 : 인텔 ® 액티브 관리 기술 (AMT), 인텔 ® 표준 관리 기능 (ISM) 및 인텔 ® 소규모 비즈니스 기술 (SBT)

Linux 시스템에서 인텔 권한 상승 취약점을 쉽게 감지하고 완화하려면 어떻게해야합니까?



답변

이 문제에서 내가 본 가장 명확한 게시물은 Matthew Garrett (댓글 포함)입니다.

Matthew는 이제 시스템을 로컬에서 확인 하는 도구 를 출시 했습니다.

sudo ./mei-amt-check

그리고 AMT가 활성화 및 프로비저닝되었는지 여부와 펌웨어 버전 (아래 참조)인지보고합니다. README는 자세한 내용이 있습니다.

잠재적으로 취약한 시스템을 네트워크에서 검색하려면 포트 623, 624 및 16992 ~ 16993을 검색하십시오 (Intel 자체 완화 문서에 설명 된대로 ). 예를 들어

nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24

192.168.1 / 24 네트워크를 스캔하고 응답하는 모든 호스트의 상태를보고합니다. 포트 623에 연결할 수 있다는 것은 오탐 (다른 IPMI 시스템은 해당 포트를 사용함) 일 수 있지만 16992에서 16995까지의 열린 포트는 활성화 된 AMT를 나타내는 아주 좋은 지표입니다 (적어도 적절하게 응답하는 경우 : AMT를 사용하면 16992 및 16993에 대한 HTTP 응답, TLS가있는 HTTP 응답).

포트 16992 또는 16993에 응답이 표시되면 해당 포트에 연결하고 /HTTP 를 사용하여 요청 하면 ServerAMT가 활성화 된 시스템에서 “Intel (R) Active Management Technology”가 포함 된 행 으로 응답이 반환됩니다 . 같은 라인에는 사용중인 AMT 펌웨어 버전도 포함되어 있으며, 인텔의 권고 에 나와있는 목록과 비교하여 취약한 지 여부를 확인할 수 있습니다.

위의 자동화 스크립트에 대한 링크는 CerberusSec의 답변 을 참조하십시오 .

문제를 “적절하게”해결하는 방법에는 두 가지가 있습니다.

  • 시스템 제조업체가 업데이트를 제공하면 펌웨어를 업그레이드하십시오.
  • 시스템에서 비 AMT 가능 네트워크 인터페이스를 사용하거나 USB 어댑터를 사용하여 AMT를 제공하는 네트워크 포트를 사용하지 마십시오 (i210 네트워크 포트가있는 C226 Xeon E3 시스템과 같은 많은 AMT 워크 스테이션에는 AMT- 유능한 네트워크 인터페이스-나머지는 안전합니다. AMT는 최소한 Windows에서 Wi-Fi를 통해 작동 할 수 있으므로 내장 Wi-Fi를 사용하면 타협으로 이어질 수 있습니다.

이러한 옵션 중 어느 것도 사용할 수없는 경우 완화 영역에있는 것입니다. AMT 가능 시스템이 AMT 용으로 프로비저닝 된 적이 없다면 합리적으로 안전합니다. 이 경우 AMT를 활성화하는 것은 분명히 로컬에서만 수행 할 수 있으며 시스템 펌웨어 또는 Windows 소프트웨어를 사용해야한다고 말할 수 있습니다. AMT가 활성화 된 경우 재부팅하고 펌웨어를 사용하여 비활성화 할 수 있습니다 ( CtrlP부팅 중에 AMT 메시지가 표시 될 때 누릅니다 ).

기본적으로 권한 취약점은 상당히 불쾌하지만 대부분의 인텔 시스템은 실제로 영향을받지 않습니다. Linux 또는 다른 Unix와 유사한 운영 체제를 실행하는 자체 시스템의 경우 에스컬레이션을 위해서는 시스템에 실제로 액세스하여 AMT를 먼저 활성화해야합니다. (Windows는 또 다른 이야기입니다.) Rui F Ribeiro가 지적한 다중 네트워크 인터페이스 가있는 시스템에서는 관리 인터페이스 (IPMI 가능 또는 호스트 인터페이스)를 처리하는 것과 같은 방식으로 AMT 가능 인터페이스를 처리해야합니다. VM 하이퍼 바이저의 경우) 및 관리 네트워크 (실제 또는 VLAN)에서 격리합니다. 당신은 할 수 : 자신을 보호하기 위해 호스트에 의존하는 iptables등 AMT는 운영체제보다 먼저 패킷을보고 (그 자체로 AMT 패킷을 유지) 때문에, 여기에 효과가 있습니다.

VM은 문제를 복잡하게 만들 수 있지만 AMT를 혼동하여 AMT가 활성화 된 경우 혼란스러운 스캔 결과를 생성 할 수 있다는 점에서만 문제가 복잡 할 수 있습니다. amt-howto(7)AMT가 DHCP를 통해 DomU를 통해 DomU에 제공된 주소를 사용하는 Xen 시스템의 예를 제공합니다. 이는 Dom0이 아닌 DomU에서 스캔이 AMT 활성을 표시 함을 의미합니다.


답변

이 서비스의 열린 포트를 감지하는 것만으로는 충분하지 않으며 버전이 영향을 받는지 여부를 나타내지 않습니다. 우리 팀은 대상 시스템이 원격 공격에 취약한지를 감지하는 github : CerberusSecurity / CVE-2017-5689 에서 사용할 수있는 파이썬 스크립트를 만들었습니다 .

샘플 사용법 :

python CVE_2017_5689_detector.py 10.100.33.252-255

이를 통해 원격으로 악용 가능한지 확인할 수 있습니다. 관심이 있으시면 http://cerberussec.org/에 간단한 블로그 게시물을 작성 하여이 취약점을 악용하십시오.