Bir Linux sistemindeki Intel ayrıcalık güvenlik açığı yükselişini nasıl algılayabilir ve azaltabilir (CVE-2017-5689)?

26

1 Mayıs 2017 tarihli Intel güvenlik merkezi yayınına göre , Intel işlemcileri üzerinde, saldırganın AMT, ISM ve SBT kullanarak ayrıcalık kazanmasına (ayrıcalık artışı) izin verebilecek kritik bir güvenlik açığı var.

AMT, bilgisayarın ağ donanımına doğrudan erişime sahip olduğundan, bu donanım güvenlik açığı bir saldırganın herhangi bir sisteme erişmesine izin verir.

Intel® Aktif Yönetim Teknolojisi (AMT), Intel® Standart Yönetilebilirlik (ISM) ve Intel® Küçük İşletme Teknolojisi sürümleri 6.x, 7.x, 8.x 9.x, 10 sürümlerinde bir ayrıcalık güvenlik açığı bulunmaktadır. .x, 11.0, 11.5 ve 11.6, ayrıcalıklı olmayan bir saldırganın, bu ürünler tarafından sağlanan yönetilebilirlik özelliklerini denetlemesine izin verebilir. Bu güvenlik açığı, Intel tabanlı tüketici bilgisayarlarında bulunmamaktadır.

Intel, Windows 7 ve 10 için kullanılabilen bir algılama aracı yayımladı . dmidecode -t 4İşlemcimin kullandığını buldum ve Intel web sitesinde arama yaparak bilgileri kullanıyorum Intel® Active Management Technology (Intel® AMT) 8.0.

Etkilenen ürünler:

Bu sorun Intel yönetilebilirliği üretici yazılımı sürüm 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 ve Intel® Etkin Yönetim Teknolojisi, Intel® Küçük İşletme Teknolojisi ve Intel için 11.6 sürümlerinde gözlendi. ® Standart Yönetilebilirlik. 6'dan önceki veya 11,6'dan sonraki sürümler etkilenmez.

Tanım:

Ayrıcalıklı olmayan bir yerel saldırgan, Intel yönetilebilirliği SKU'larında ayrıcalık olmayan ağ veya yerel sistem ayrıcalıkları kazandıran yönetilebilirlik özellikleri sağlayabilir: Intel® Aktif Yönetim Teknolojisi (AMT), Intel® Standart Yönetilebilirlik (ISM) ve Intel® Küçük İşletme Teknolojisi (SBT)

Bir Linux sistemindeki Intel ayrıcalık güvenlik açığı artışını kolayca nasıl tespit edebilir ve azaltabilirim?

linux  security  hardware  x86  vulnerability 
GAD3R
kaynak
1
Birçoğumuz VM kullanırken bu durum daha da karmaşıktır; gerçek makineler için UDP 16992’de servis olup olmadığını taramak yeterli olur mu? +1
Rui F Ribeiro
2
Önleyici adımlar: SPARC kullanın (biliyorum, uygulanabilir bir çözüm değil biliyorum). +1
Fox
3
@Fox, Intel işlemcilerdeki ME CPU'yu yeterince eğlenceli kullanıyor; bugünlerde bir SPARC ;-).
Stephen Kitt
2
@StephenKitt Gerçekten mi? Intel'in fişlerindeki duruşumu tekrar düşünmek zorunda kalabilirim! Makinelerimin neredeyse hepsi PPC veya SPARC, bu yüzden önyargımın gerçek olduğunu itiraf etmeliyim
Fox
3
Gilles 'SO- kötülük'

Yanıtlar:

18

Bu konuda gördüğüm en net yayın Matthew Garrett’in (yorumlar da dahil).

Matthew şimdi sisteminizi yerel olarak kontrol etmek için bir araç yayımladı : kurun, çalıştırın

sudo ./mei-amt-check

AMT'nin etkinleştirilip etkinleştirilmediğini ve tedarik edilip edilmediğini ve ürün yazılımı sürümlerini (aşağıya bakınız) bildirir. README fazla ayrıntı vardır.

Ağınızı potansiyel olarak savunmasız sistemler için taramak için, 623, 624 ve 16992 ila 16993 arasındaki bağlantı noktalarını (Intel'in kendi azaltma belgesinde açıklandığı şekilde) tarayın ; Örneğin

nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24

192.168.1 / 24 ağını tarayacak ve cevap veren tüm ana bilgisayarların durumunu bildirecektir. 623 numaralı bağlantı noktasına bağlanabilmek yanlış bir pozitif olabilir (diğer IPMI sistemleri bu bağlantı noktasını kullanır), ancak 16992'den 16995'e kadar olan herhangi bir açık bağlantı noktası etkin AMT'nin çok iyi bir göstergesidir (en azından uygun şekilde yanıt verirse: AMT ile 16992 ve 16993’te bir HTTP yanıtı, ikincisi TLS ile).

16992 veya 16993 numaralı bağlantı noktalarında yanıtlar görürseniz, bunlara bağlanmak ve /HTTP kullanarak istemek Server, AMT'nin etkin olduğu sistemlerde “Intel (R) Etkin Yönetim Teknolojisi” içeren bir hatla yanıt verecektir ; Aynı satır, kullanımda olan AMT donanım yazılımının versiyonunu da içerecektir; bu da savunmasız olup olmadığını belirlemek için Intel'in tavsiyesinde verilen listeyle karşılaştırılabilir .

Bkz CerberusSec cevabı yukarıdaki otomatik hale bir komut dosyası bir bağlantı için.

Bu sorunu “doğru bir şekilde” düzeltmenin iki yolu vardır:

  • sistem üreticiniz bir güncelleme sağladığında (hiç) cihaz yazılımını yükseltin;
  • AMT sağlayan ağ bağlantı noktasını, sisteminizde AMT özellikli olmayan bir ağ arabirimi kullanarak veya bir USB adaptörü kullanarak (i210 ağ bağlantı noktalarına sahip C226 Xeon E3 sistemleri gibi birçok AMT iş istasyonunda yalnızca bir AMT yetenekli ağ arayüzü - geri kalanlar güvenlidir; AMT'nin wi-fi üzerinden çalışabileceğini, en azından Windows'ta çalışabileceğini, bu nedenle yerleşik wi-fi kullanımının da tehlikeye girebileceğini unutmayın).

Bu seçeneklerin hiçbiri mevcut değilse, azaltma bölgesinde bulunuyorsunuz. AMT özellikli sisteminiz hiçbir zaman AMT için sağlanmadıysa, makul ölçüde güvende olursunuz; AMT'nin bu durumda etkinleştirilmesi görünüşte yalnızca yerel olarak yapılabilir ve söyleyebildiğim kadarıyla sisteminizin donanım yazılımı veya Windows yazılımı kullanılmasını gerektirir. AMT etkinleştirildiyse, devre dışı bırakmak için bellenimi yeniden başlatabilir ve kullanabilirsiniz ( CtrlPAMT mesajı önyükleme sırasında görüntülendiğinde basın ).

Temel olarak, ayrıcalık güvenlik açığı oldukça pis olsa da, çoğu Intel sisteminin gerçekten etkilenmediği görülüyor. Linux veya başka bir Unix benzeri işletim sistemi çalıştıran kendi sistemleriniz için, yükseltme, AMT'yi ilk etapta etkinleştirmek için muhtemelen sisteme fiziksel erişim gerektirir. (Windows başka bir hikaye.) Rui F Ribeiro'nun belirttiği gibi, birden fazla ağ arayüzüne sahip sistemlerde, AMT özellikli arayüzleri herhangi bir yönetim arayüzüne (IPMI özellikli veya ana bilgisayar arayüzü gibi) davrandığınız gibi kullanmalısınız. Bir VM hipervizörü için) ve bunu idari bir ağda izole edin (fiziksel veya VLAN). Sen olamaz : kendini korumak için bir dizi güvenmek iptablesvb AMT işletim sistemi bulmadan paketleri görür (ve kendisine AMT paketleri tutar) nedeniyle, burada etkisizdir.

VM'ler sorunları karmaşıklaştırabilir, ancak yalnızca AMT'yi karıştırabilir ve böylece AMT etkinse kafa karıştırıcı tarama sonuçları üretebilir. amt-howto(7)AMT'nin DHCP üzerinden bir DomU'ya verilen adresi kullandığı Xen sistemlerinin örneğini verir, eğer varsa, tarama DomU’da değil, DomU’da aktif AMT’yi gösterir.

Stephen Kitt
kaynak
Makinede Linux'tan AMT'yi tespit etmenin yerel bir yolu yok mu? Kullanımı /proc/cpuinfoya dmidecode?
dolmen
Bu, bir sistem bu bağlantı noktalarından hiçbirine yanıt vermezse, bu güvenlik açığına karşı güvenli olduğu veya yine de yerel olarak yararlanılabileceği anlamına mı geliyor?
comfreak
Dizüstü bilgisayarlardaki azaltma, yerleşik değil, USB NIC kullanma şeklini alabilir.
Michael Mol,
1
"AMT'nin wi-fi üzerinden, en azından Windows'ta çalışabileceğini" yazıyorsunuz. Bu güvenlik açığının işletim sisteminden bağımsız olarak çalıştığını düşündüm?
wurtel
1
@ wurtel bu güvenlik açığı kablolu arabirimlerde işletim sisteminden bağımsızdır, ancak wi-fi AMT işletim sisteminde çalışan işletim sisteminin sürücüsünden işbirliğine ihtiyacı var gibi görünüyor: paketleri etkilemiyor, işletim sistemine uygun paketleri yönlendiriyor (anladığım kadarıyla) - bu şeyleri test etmediğime dikkat edin).
Stephen Kitt
8

Basitçe bu hizmet için açık portları tespit etmek yetersizdir, sürümün etkilenip etkilenmediğini göstermez. Ekibimiz, github'umuzda bulunan bir python betiği hazırladı: CerberusSecurity / CVE-2017-5689 , bir hedef sistemin uzaktan saldırılara karşı savunmasız olup olmadığını tespit etti.

Örnek kullanım:

python CVE_2017_5689_detector.py 10.100.33.252-255

Bu, uzaktan yararlanılabilir olup olmadığını kontrol edebilmenizi sağlar. Eğer ilgileniyorsanız, http://cerberussec.org/ adresinde kısa bir blog yazısı da yazdık .

CerberusSec
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.