Linux 시스템 (CVE-2017-5689)에서 Intel 에스컬레이션 권한 상승 취약점을 탐지하고 완화하는 방법은 무엇입니까?


26

2017 년 5 월 1 일 게시인텔 보안 센터 에 따르면 공격자가 AMT, ISM 및 SBT를 사용하여 권한 (권한 상승)을 얻을 수있는 인텔 프로세서에 치명적인 취약점이 있습니다.

AMT는 컴퓨터의 네트워크 하드웨어에 직접 액세스 할 수 있으므로이 하드웨어 취약점으로 인해 침입자가 모든 시스템에 액세스 할 수 있습니다.

Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) 및 Intel® Small Business Technology 버전 펌웨어 버전 6.x, 7.x, 8.x 9.x, 10에는 권한 상승 취약점이 있습니다. .x, 11.0, 11.5 및 11.6-권한이없는 공격자가 이러한 제품에서 제공하는 관리 기능을 제어 할 수 있습니다. 이 취약점은 인텔 기반 소비자 PC에는 존재하지 않습니다.

인텔은 Windows 7 및 10에 사용할 수 있는 검색 도구를 출시했습니다 . dmidecode -t 4인텔 웹 사이트 에서 정보를 검색하고 검색하여 프로세서에서 사용하는 것으로 나타났습니다 Intel® Active Management Technology (Intel® AMT) 8.0.

영향을받는 제품 :

인텔 ® 관리 기술, 인텔 ® 소규모 비즈니스 기술 및 인텔의 인텔 관리 효율성 펌웨어 버전 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5 및 11.6에서이 문제가 발견되었습니다. ® 표준 관리 효율성. 6 이전 또는 11.6 이후 버전은 영향을받지 않습니다.

설명 :

권한이없는 로컬 공격자는 인텔 관리 효율성 SKU에 대한 권한없는 네트워크 또는 로컬 시스템 권한을 얻는 관리 기능을 제공 할 수 있습니다 : 인텔 ® 액티브 관리 기술 (AMT), 인텔 ® 표준 관리 기능 (ISM) 및 인텔 ® 소규모 비즈니스 기술 (SBT)

Linux 시스템에서 인텔 권한 상승 취약점을 쉽게 감지하고 완화하려면 어떻게해야합니까?


1
우리 중 많은 사람들이 VM을 사용하는 경우 상황이 더욱 복잡해집니다. 실제 머신의 경우 UDP 16992에서 서비스 존재 여부를 스캔하기에 충분합니까? +1
Rui F Ribeiro

2
예방 단계 : SPARC를 사용하십시오 (가능한 해결책은 아닙니다). +1
Fox

3
@Fox는 인텔 프로세서의 ME CPU가 요즘 SPARC입니다. ;-).
Stephen Kitt

2
@StephenKitt 정말요? 인텔 칩에 대한 입장을 재고해야 할 수도 있습니다! 거의 모든 기계가 PPC 또는 SPARC이므로 내 편견이 현실임을 인정해야합니다
Fox

답변:


18

이 문제에서 내가 본 가장 명확한 게시물은 Matthew Garrett (댓글 포함)입니다.

Matthew는 이제 시스템을 로컬에서 확인 하는 도구 를 출시 했습니다.

sudo ./mei-amt-check

그리고 AMT가 활성화 및 프로비저닝되었는지 여부와 펌웨어 버전 (아래 참조)인지보고합니다. README는 자세한 내용이 있습니다.

잠재적으로 취약한 시스템을 네트워크에서 검색하려면 포트 623, 624 및 16992 ~ 16993을 검색하십시오 (Intel 자체 완화 문서에 설명 된대로 ). 예를 들어

nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24

192.168.1 / 24 네트워크를 스캔하고 응답하는 모든 호스트의 상태를보고합니다. 포트 623에 연결할 수 있다는 것은 오탐 (다른 IPMI 시스템은 해당 포트를 사용함) 일 수 있지만 16992에서 16995까지의 열린 포트는 활성화 된 AMT를 나타내는 아주 좋은 지표입니다 (적어도 적절하게 응답하는 경우 : AMT를 사용하면 16992 및 16993에 대한 HTTP 응답, TLS가있는 HTTP 응답).

포트 16992 또는 16993에 응답이 표시되면 해당 포트에 연결하고 /HTTP 를 사용하여 요청 하면 ServerAMT가 활성화 된 시스템에서 "Intel (R) Active Management Technology"가 포함 된 행 으로 응답이 반환됩니다 . 같은 라인에는 사용중인 AMT 펌웨어 버전도 포함되어 있으며, 인텔의 권고 에 나와있는 목록과 비교하여 취약한 지 여부를 확인할 수 있습니다.

위의 자동화 스크립트에 대한 링크는 CerberusSec의 답변 을 참조하십시오 .

문제를 "적절하게"해결하는 방법에는 두 가지가 있습니다.

  • 시스템 제조업체가 업데이트를 제공하면 펌웨어를 업그레이드하십시오.
  • 시스템에서 비 AMT 가능 네트워크 인터페이스를 사용하거나 USB 어댑터를 사용하여 AMT를 제공하는 네트워크 포트를 사용하지 마십시오 (i210 네트워크 포트가있는 C226 Xeon E3 시스템과 같은 많은 AMT 워크 스테이션에는 AMT- 유능한 네트워크 인터페이스-나머지는 안전합니다. AMT는 최소한 Windows에서 Wi-Fi를 통해 작동 할 수 있으므로 내장 Wi-Fi를 사용하면 타협으로 이어질 수 있습니다.

이러한 옵션 중 어느 것도 사용할 수없는 경우 완화 영역에있는 것입니다. AMT 가능 시스템이 AMT 용으로 프로비저닝 된 적이 없다면 합리적으로 안전합니다. 이 경우 AMT를 활성화하는 것은 분명히 로컬에서만 수행 할 수 있으며 시스템 펌웨어 또는 Windows 소프트웨어를 사용해야한다고 말할 수 있습니다. AMT가 활성화 된 경우 재부팅하고 펌웨어를 사용하여 비활성화 할 수 있습니다 ( CtrlP부팅 중에 AMT 메시지가 표시 될 때 누릅니다 ).

기본적으로 권한 취약점은 상당히 불쾌하지만 대부분의 인텔 시스템은 실제로 영향을받지 않습니다. Linux 또는 다른 Unix와 유사한 운영 체제를 실행하는 자체 시스템의 경우 에스컬레이션을 위해서는 시스템에 실제로 액세스하여 AMT를 먼저 활성화해야합니다. (Windows는 또 다른 이야기입니다.) Rui F Ribeiro가 지적한 다중 네트워크 인터페이스 가있는 시스템에서는 관리 인터페이스 (IPMI 가능 또는 호스트 인터페이스)를 처리하는 것과 같은 방식으로 AMT 가능 인터페이스를 처리해야합니다. VM 하이퍼 바이저의 경우) 및 관리 네트워크 (실제 또는 VLAN)에서 격리합니다. 당신은 할 수 : 자신을 보호하기 위해 호스트에 의존하는 iptables등 AMT는 운영체제보다 먼저 패킷을보고 (그 자체로 AMT 패킷을 유지) 때문에, 여기에 효과가 있습니다.

VM은 문제를 복잡하게 만들 수 있지만 AMT를 혼동하여 AMT가 활성화 된 경우 혼란스러운 스캔 결과를 생성 할 수 있다는 점에서만 문제가 복잡 할 수 있습니다. amt-howto(7)AMT가 DHCP를 통해 DomU를 통해 DomU에 제공된 주소를 사용하는 Xen 시스템의 예를 제공합니다. 이는 Dom0이 아닌 DomU에서 스캔이 AMT 활성을 표시 함을 의미합니다.


머신의 Linux에서 AMT를 감지하는 로컬 방법이 없습니까? 사용 /proc/cpuinfo또는 dmidecode?
고인돌

시스템이이 포트들 중 어느 것에도 응답하지 않으면이 취약점으로부터 안전하거나 로컬에서 여전히 악용 될 수 있습니까?
comfreak

랩톱에서의 완화 기능은 내장형 대신 USB NIC를 사용하는 형태를 취할 수 있습니다.
Michael Mol

1
"AMT는 최소한 Windows에서는 Wi-Fi를 통해 작동 할 수 있습니다." 이 취약점이 OS와 독립적으로 작동한다고 생각 했습니까?
wurtel

1
@ wurtel 취약점은 유선 인터페이스에서 OS에 독립적이지만 Wi-Fi AMT에서는 실행중인 OS 드라이버와의 협력이 필요합니다. 패킷을 인터셉트하지 않고 적절한 패킷을 전달하는 OS에 의존합니다. —이 부분은 테스트하지 않았습니다.)
Stephen Kitt

8

이 서비스의 열린 포트를 감지하는 것만으로는 충분하지 않으며 버전이 영향을 받는지 여부를 나타내지 않습니다. 우리 팀은 대상 시스템이 원격 공격에 취약한지를 감지하는 github : CerberusSecurity / CVE-2017-5689 에서 사용할 수있는 파이썬 스크립트를 만들었습니다 .

샘플 사용법 :

python CVE_2017_5689_detector.py 10.100.33.252-255

이를 통해 원격으로 악용 가능한지 확인할 수 있습니다. 관심이 있으시면 http://cerberussec.org/에 간단한 블로그 게시물을 작성 하여이 취약점을 악용하십시오.


당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.