この問題について私が見た中で最も明確な投稿は、Matthew Garrett の (コメントを含む) です。
Matthew は、システムをローカルでチェックするためのツールをリリースしました:ビルドして実行してください
sudo ./mei-amt-check
また、AMT が有効でプロビジョニングされているかどうか、有効である場合はファームウェアのバージョン (以下を参照) が報告されます。 README に詳細があります。
ネットワークをスキャンして潜在的に脆弱なシステムを見つけるには、ポート 623、624、および 16992 ~ 16993 をスキャンします (Intel 独自の緩和ドキュメントに記載されています)。例えば
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
192.168.1/24 ネットワークをスキャンし、応答するすべてのホストのステータスを報告します。ポート 623 に接続できることは誤検出である可能性があります (他の IPMI システムがそのポートを使用します) が、16992 から 16995 までの開いているポートは有効な AMT の非常に良い指標です (少なくともそれらが適切に応答する場合:AMT を使用すると、つまり、 16992 と 16993 の HTTP 応答、後者は TLS を使用)。
ポート 16992 または 16993 で応答が表示される場合は、それらに接続して / を要求します。 HTTP を使用すると、Server の応答が返されます AMT が有効になっているシステムの「Intel(R) Active Management Technology」を含む行。同じ行には、使用中の AMT ファームウェアのバージョンも含まれており、Intel のアドバイザリに記載されているリストと比較して、脆弱性があるかどうかを判断できます。
上記を自動化するスクリプトへのリンクについては、CerberusSec の回答を参照してください。
問題を「適切に」修正するには、次の 2 つの方法があります。
- システムの製造元がアップデートを提供したら (ある場合)、ファームウェアをアップグレードします。
- システムで AMT に対応していないネットワーク インターフェイスを使用するか、USB アダプタを使用して、AMT を提供するネットワーク ポートを使用しないでください (i210 ネットワーク ポートを備えた C226 Xeon E3 システムなどの多くの AMT ワークステーションには、 1 つの AMT 対応ネットワーク インターフェイス — 残りは安全です。AMT は、少なくとも Windows では Wi-Fi 経由で動作するため、組み込みの Wi-Fi を使用するとセキュリティ侵害につながる可能性があることに注意してください)。
これらのオプションのいずれも利用できない場合は、緩和の領域にいます。 AMT 対応システムが AMT 用にプロビジョニングされていない場合は、かなり安全です。その場合、AMT を有効にするにはローカルでしかできないようです。私が知る限り、システムのファームウェアまたは Windows ソフトウェアを使用する必要があります。 AMT が有効になっている場合は、再起動してファームウェアを使用して無効にすることができます (Ctrl を押します)。 P 起動中に AMT メッセージが表示された場合)。
基本的に、特権の脆弱性は非常に厄介ですが、ほとんどの Intel システムは実際には影響を受けていないようです. Linux または別の Unix ライクなオペレーティング システムを実行している独自のシステムの場合、エスカレーションにはおそらく、最初に AMT を有効にするためにシステムへの物理的なアクセスが必要です。 (Windows は別の話です。)複数のネットワーク インターフェイスを持つシステムでは、Rui F Ribeiro が指摘したように、管理インターフェイス (IPMI 対応、またはホスト インターフェイスVM ハイパーバイザーの場合)、管理ネットワーク (物理または VLAN) に分離します。 できません 自分自身を保護するためにホストに依存する:iptables AMT はオペレーティング システムよりも先にパケットを確認する (そして AMT パケットを自分自身に保持する) ため、ここでは効果がありません。
VM は問題を複雑にする可能性がありますが、AMT が有効になっている場合に AMT を混乱させ、混乱を招くスキャン結果を生成する可能性があるという意味でのみです。 amt-howto(7) AMT が DHCP 経由で DomU に与えられたアドレスを使用する Xen システムの例を示します。これは、スキャンが Dom0 ではなく DomU で AMT がアクティブであることを示すことを意味します...
このサービスの開いているポートを検出するだけでは不十分です。バージョンが影響を受けているかどうかはわかりません。私たちのチームは、ターゲット システムがリモート攻撃に対して脆弱かどうかを検出する python スクリプトを github:CerberusSecurity/CVE-2017-5689 で作成しました。
使用例:
python CVE_2017_5689_detector.py 10.100.33.252-255
これにより、リモートで悪用可能かどうかを確認できるようになります。興味のある方は、http://cerberussec.org/ に短いブログ記事を書き、この脆弱性について説明しています。
Intel は Linux 用のツールを次の場所に用意しています:Linux 検出および軽減ツール
GITHUB にフォークがあります