Telecom News - אזהרה: שבבים של אינטל חשופים לתקיפה מרחוק

אזהרה: שבבים של אינטל חשופים לתקיפה מרחוק
מאת: מערכת Telecom News, 3.5.17, 14:37

עדכון מ-8.5.17 בתחתית הכתבה.

שבבים של אינטל, שמשמשים בעיקר בציוד ארגוני, החל מ-2008 ועד היום, שכוללים בתוכם את טכנולוגיית הניהול מרחוק ,Active Management Technology - AMT חשופים לתקיפה מרחוק. מה עושים?

שבבים של אינטל, שמשמשים בעיקר בציוד ארגוני, החל מ-2008 ועד היום (כמעט עשור), שכוללים בתוכם את טכנולוגיית הניהול מרחוק ,Active Management Technology - AMT חשופים לתקיפה מרחוק, שמאפשרת העלאת הרשאות ושימוש במנגנון הניהול מרחוק להשתלטות על המערכת המנוהלת.

גם אם השירות אינו מופעל לגישה מרחוק, ניתן לנצל הפגיעות לתקיפה מקומית. המענה לפגיעות מחייב עדכון קושחה. קיימים מספר פתרונות עוקפים.

המעבדים של אינטל, שמשמשים בעיקר בציוד ארגוני, כוללים יכולת ניהול מרחוק, המוכרת כ-.Active Management Technology - AMT בשבבים אלה נתגלתה פגיעות המאפשרת במקרים מסוימים תקיפה מרחוק וגישה למערכת הניהול ללא הזדהות, ובמקרים אחרים תקיפה מקומית בלבד.

הגרסאות הפגיעות הן של Intel Manageability Firmware
.6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, 11.6

גישה למערכת הניהול מרחוק או מקומית מאפשרת ביצוע כל פעילות הרצויה לתוקף על גבי מערכת ההפעלה המופעלת בציוד.

מומלץ לבדוק האם הציוד הארגוני מכיל את מערכת הניהול מרחוק הנ"ל, וכולל תמיכה בהפעלתה מרחוק. במידה שהתכונה הנ"ל קיימת יש לבדוק אם היא זמינה לגישה מרחוק.

מידע לגבי הפגיעות והוראות כיצד ניתן לבדוק קיומה של יכולת הניהול מרחוק ונגישותה, וכן פרטים על האפשרויות לנטרולה ניתן למצוא במסמכים הבאים של אינטל:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
https://communities.intel.com/docs/DOC-5693
https://downloadmirror.intel.com/26755/eng/INTEL-SA-00075%20Detection%20Guide-Rev%201.0.pdf https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075%20Mitigation%20Guide-Rev%201.1.pdf https://software.intel.com/en-us/documentation/amt-reference/manageability-ports

מומלץ לחסום פורטים Tcp 16992, 16993, 16994, 16995, 623, 664 ב-FW ולנטר פעילות חריגה בפורטים אלה.

שימוש ב FW-מקומי על גבי מערכת ההפעלה לא ייתן מענה לפגיעות מאחר שהתעבורה עוברת ישירות לשבב הניהול ומערכת ההפעלה אינה חשופה אליה. לפתרון מלא של הפגיעות נדרש עדכון קושחה מיצרן המערכת שברשותכם.

עדכון 8.5.17, 17:14: בהמשך לנ"ל, פורסמו פרטים נוספים לגבי הפגיעות במנגנון ההזדהות עבור טכנולוגיית AMT של אינטל. התקיפה קלה לביצוע באופן יחסי, וניתן לממשה נגד כל שרת, שמערכת ניהול זו פעילה בו ונגישה ברשת. מומלץ לבחון הפסקת השימוש במערכת הניהול עד לאחר ביצוע עדכון קושחה. אם לא ניתן להפסיק את השימוש משיקולים אופרטיביים, מומלץ להגביל את הגישה הרשתית לשרתים המנוהלים ע"י מערכת זו, למספר מינימלי של עמדות ניהול מוגדרות.

מפרסום שיטת התקיפה עולה, שמקורה בטעות קידוד, והזדהות כמשתמש n Admiעם שדהResponse ריק (באמצעות תוכנת פרוקסי מקומית) מאפשרת להשיג נגישות לממשק הניהול. לדוגמה:

: Authorization: Digest username=»admin», realm=»Digest:048A0000000000000000000000000000», nonce=»qTILAAUFAAAjY7rDwLSmxFCq5EJ3pH/n», uri=»/index.htm», response=»», qop=auth, nc=00000001, cnonce=»60513ab58858482c»

מומלץ למשתמשים, שיכולים להמשיך בפעילות ללא מערכת ניהול זו, להפסיק את פעולתה עד לביצוע העדכון. עבור משתמשים, שמסיבה כלשהי אינם יכולים להפסיק את פעילות המערכת, מומלץ להגביל את הגישה לשרתים באמצעות FW רשתיים למספר מוגבל של עמדות ניהול מוגדרות, ובפרט לא לאפשר גישה לשרתים בפורטים אלה 16992-16995 מרשת האינטרנט ומרשתות חיצוניות לארגון.

תשומת לב, שמספר פורטים, שפורסמו כרלוונטיים למערכת 664 ,623, משמשים גם מערכות ניהול אחרות כגון IPMI ו. BMC-יש לבחון האם נעשה שימוש במערכות אלו בארגונכם, ורק לאחר מכן להחליט אלו כתובות לחסום לגישה לשרתים בפורטים אלה.

יש לוודא, שציוד אבטחה רשתי ושרתים המריצים מערכות וירטואליות וכיוצא באלו, שעלולים לעשות שימוש בשבבים של אינטל, נבדקים גם הם לאיתור הפגיעות. לפתרון מלא של הפגיעות יש לבצע עדכון קושחה מיצרן המערכת שברשותכם. 4 הלינקים הנ"ל הם עדכניים למסמכים בדבר זיהוי וטיפול בפגיעות של אינטל.

מספר יצרנים כבר פרסמו את רשימת המערכות הפגיעות מתוצרתם, ולו"ז להפצת העדכונים הנדרשים:
HP: http://www8.hp.com/us/en/intelmanageabilityissue.html
Lenovo : https://support.lenovo.com/us/en/product_security/LEN-14963
Fujitsu : http://support.ts.fujitsu.com/content/Intel_Firmware.asp
Dell - כאן.