CVE-2017-5689

Intel Active Management Technology (AMT), Small Business Technology (SBT), and Standard Manageability

ВЫСОКАЯ ВЕРОЯТНОСТЬ

Дата обнаружения

2022-01-28

Официальное описание

Intel products contain a vulnerability which can allow attackers to perform privilege escalation.

🛡️

Технический анализ и план устранения

Суть уязвимости

Уязвимость (также известная как "Silent Bob") позволяет неавторизованному удаленному злоумышленнику получить административный доступ к функциям Intel AMT/SBT/Standard Manageability, обойдя стандартную аутентификацию. Это возможно из-за ошибки в механизме логина, когда в некоторых версиях прошивки поле для пароля может принимать любое значение, включая пустое.

Вектор атаки: Сеть.
Уровень сложности: Низкий.
Последствия: Полный контроль над функциями удаленного управления платформой (Out-of-Band management).

Как исправить

Необходимо обновить микрокод (прошивку) Intel Management Engine (ME), конвертированного ПО AMT и BIOS/UEFI до версий, устраняющих уязвимость.

Определите версию ME и AMT:
- В Linux: Установите и используйте intel-cmt-cat или проверьте журналы (dmesg | grep -i me).
- В Windows: Используйте утилиту Intel Driver & Support Assistant (Intel DSA) или MEInfo.exe из Intel ME System Tools.
Обновите компоненты:
- Основное исправление: Обновите микрокод Intel Management Engine до версии 11.8.50.3425 или новее, 11.11.50.3425 или новее, 11.22.50.3425 или новее, 12.0.20.1256 или новее (в зависимости от поколения платформы).
- Дополнительно: Обновите конвертированное ПО Intel AMT/SBT до версии 11.6.27.3264, 11.11.50.3425, 12.0.20.1256 или новее.
- Обновите BIOS/UEFI материнской платы до последней версии от производителя оборудования (OEM), так как обновления ME часто встроены в образы BIOS.
Конкретные обновления зависят от производителя вашего оборудования (Dell, HP, Lenovo и т.д.). Найдите свою модель на сайте поддержки производителя и установите все критические обновления для: * System BIOS/UEFI * Intel Management Engine Firmware * Intel AMT Firmware

Временное решение

Если немедленное обновление невозможно, выполните следующие шаги для минимизации риска:

Блокировка сетевого доступа:
- Настройте межсетевой экран (Firewall) на блокировку входящих подключений к портам, используемым Intel AMT, на всех интерфейсах, особенно на публичных.
- Ключевые порты для блокировки:
  - 16992 (HTTP)
  - 16993 (HTTPS)
  - 16994 (WS-MAN)
  - 16995 (Redirection, KVM)
  - 623 (RMCP)
  - 664 (RMCP+)
Пример правила для iptables: bash iptables -A INPUT -p tcp --dport 16992:16995 -j DROP iptables -A INPUT -p udp --dport 623 -j DROP iptables -A INPUT -p udp --dport 664 -j DROP
Отключение AMT в BIOS/UEFI:
- Перезагрузите сервер/ПК.
- Войдите в настройки BIOS/UEFI (клавиша F2, Del и т.д.).
- Найдите раздел, связанный с Intel AMT, Intel vPro или Manageability.
- Отключите (Disable) эти функции. Сохраните настройки и выйдите.
Изоляция сети управления:
- Выделите интерфейс управления (с которым связан AMT) в отдельную, строго контролируемую VLAN или физическую сеть, недоступную из интернета и пользовательских сегментов сети.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей