web-dev-qa-db-fra.com

Comment détecter et atténuer l'escalade d'Intel de la vulnérabilité des privilèges sur un système Linux (CVE-2017-5689)?

Selon le Intel poste de sécurité centre daté du 1er mai 2017, il y a une vulnérabilité critique sur les processeurs Intel qui pourrait permettre à un attaquant de privilège de gain (élévation de privilèges) en utilisant AMT, ISM et SBT.

Étant donné que l'AMT dispose d'un accès direct au matériel réseau de l'ordinateur, cette vulnérabilité matérielle va permettre à un attaquant d'accéder à un système.

Il y a une escalade de la vulnérabilité des privilèges dans Intel® Active Management Technology (AMT), Intel® d'administration standard (ISM) et Intel® Small Business versions Technologie firmware versions 6.x, 7.x, 8.x 9.x, 10 .x, 11,0, 11,5 et 11,6 qui peut permettre à un attaquant non privilégié à un contrôle de gain de la facilité de gestion fonctionnalités offertes par ces produits. Cette vulnérabilité n'existe pas sur PC grand public basés sur Intel.

Intel a publié un outil de détection disponible pour Windows 7 et 10. J'utilise des informations de dmidecode -t 4 Et en effectuant une recherche sur le site Intel j'ai trouvé que mes utilisations du processeur Intel® Active Management Technology (Intel® AMT) 8.0.

Produits concernés:

La question a été observée dans les versions 6.x du firmware de gestion Intel, 7.x, 8.x 9.x, 10.x, 11,0, 11,5 et 11,6 pour la technologie Intel® Active Management, Intel® Small Business Technology et Intel ® standard Manageability. Versions avant 6 ou après 11,6 ne sont pas touchés.

La description:

Un attaquant local non privilégié pourrait gérabilité disposition dispose d'acquérir réseau ou non privilégié des privilèges du système local de gestion sur Intel UGS: Intel® Active Management Technology (AMT), Intel® standard Manageability (ISM) et Intel® Petite Business Technology (SBT)

Comment puis-je détecter facilement et atténuer l'escalade Intel de la vulnérabilité des privilèges sur un système Linux?

26
GAD3R

Le message le plus clair que j'ai vu sur ce problème est Matthew Garrett (y compris les commentaires).

Matthew a maintenant publié A Outil Pour vérifier votre système localement: Construisez-la, exécutez-le avec

Sudo ./mei-amt-check

et il fera rapport si AMT est activé et provisionné, et s'il est, les versions du micrologiciel (voir ci-dessous). Le [~ # ~] README [~ # ~] a plus de détails.

Pour analyser votre réseau pour des systèmes potentiellement vulnérables, les ports de numérisation 623, 624 et 16992 à 16993 (comme décrit dans le document d'atténuation de Intel Document d'atténuation ); par exemple

nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24

scannez le réseau 192.168.1/24 et signalera l'état de tous les hôtes qui répondent. Être capable de se connecter au port 623 peut être un faux positif (d'autres systèmes IPMI utilisent ce port), mais tout port ouvert de 16992 à 16995 est un très bon indicateur d'AMT activé (au moins si elles répondent de manière appropriée: avec AMT, cela signifie Une réponse HTTP sur 16992 et 16993, ce dernier avec TLS).

Si vous voyez des réponses sur des ports 16992 ou 16993, connectez-vous à ceux qui demandent / Utilisation de HTTP renvoient une réponse avec une ligne Server contenant la technologie de gestion active "Intel (R) sur les systèmes avec AMT activée; La même ligne contiendra également la version du micrologiciel AMT utilisé, qui peut ensuite être comparée à la liste indiquée dans Consultatif Intel Pour déterminer s'il est vulnérable.

Voir La réponse de Cerberussec Pour un lien vers un script automatiser ce qui précède.

Il existe deux façons de résoudre le problème "correctement":

  • mettre à niveau le micrologiciel, une fois le fabricant de votre système fournit une mise à jour (si jamais);
  • évitez d'utiliser le port de réseau fournissant AMT, soit à l'aide d'une interface réseau capable de non-AMT sur votre système, soit à l'aide d'un adaptateur USB (de nombreuses postes de travail AMT, tels que les systèmes C226 Xeon E3 avec des ports réseau I210, n'ont qu'un seul amplement. Interface réseau capable - le reste est en sécurité; notez que AMT peut fonctionner via Wi-Fi, au moins sous Windows, il est donc possible d'utiliser une connexion Wi-Fi intégrée peut également entraîner une compromission).

Si aucune de ces options n'est disponible, vous êtes sur un territoire d'atténuation. Si votre système AMT-Capable n'a jamais été provisionné pour AMT, vous êtes assez sûr. L'activation de l'AMT Dans ce cas ne peut apparemment être effectuée que localement, et autant que je puisse dire nécessite d'utiliser le micrologiciel de votre système ou le logiciel Windows. Si AMT est activé, vous pouvez redémarrer et utiliser le micrologiciel pour le désactiver (appuyez sur CtrlP lorsque le message AMT est affiché pendant le démarrage).

Fondamentalement, alors que la vulnérabilité du privilège est assez méchante, il semble que la plupart des systèmes Intel ne sont pas réellement affectés. Pour vos propres systèmes exécutant Linux ou un autre système d'exploitation de type UNIX, l'escalade nécessite probablement un accès physique au système pour permettre à AMT en premier lieu. (Windows est une autre histoire.) Sur les systèmes avec plusieurs interfaces réseau, comme indiqué par Rui F ribeiro , vous devez traiter les interfaces AMT-Capable de la même manière que vous traitez toute interface administrative (IPMI-Capable, ou l'interface hôte pour un Hyperviseur VM) et l'isolez-le sur un réseau administratif (physique ou VLAN). Vous ne peut pas dépendez-vous sur un hôte pour se protéger: iptables etc. sont inefficaces ici, car AMT voit des paquets avant le système d'exploitation (et garde les paquets AMT à lui-même ).

Les VMS peuvent compliquer les choses, mais seulement en ce sens qu'ils peuvent confondre AMT et produirent ainsi des résultats de balayage déroutant si AMT est activé. amt-howto(7) Donne l'exemple des systèmes Xen où AMT utilise l'adresse donnée à un DHCP sur DHCP, le cas échéant, ce qui signifie qu'une analyse afficherait AMT actif sur le DOMU, non Le DOM0 ...

18
Stephen Kitt

Détecter simplement les ports ouverts de ce service est insuffisant, il n'indique pas si la version est affectée ou non. Notre équipe a créé un python disponible sur notre GitHub: CerBerussecurity/CVE-2017-5689 qui détecte si un système cible est vulnérable à une attaque distante.

Utilisation des échantillons:

python CVE_2017_5689_detector.py 10.100.33.252-255

Cela devrait vous permettre de pouvoir vérifier si vous êtes exploitable à distance. Si vous êtes intéressé, nous avons également écrit un court public de blog à http://cerberussec.org/ avec notre prise sur cette vulnérabilité.

8
CerberusSec

Intel dispose d'outils pour Linux à: Outils de détection et d'atténuation de Linux

il y a une fourchette à GITHUB

3
guest