Самым ясным постом, который я видел по этому вопросу, является Мэтью Гарретт (включая комментарии).
Мэтью выпустил инструмент для локальной проверки вашей системы: соберите ее, запустите с
sudo ./mei-amt-check
и он сообщит, включен ли AMT и настроен ли он, и если да, то версии встроенного ПО (см. ниже). У README есть больше деталей.
Для сканирования вашей сети на наличие потенциально уязвимых систем просканируйте порты 623, 624 и 16992–16993 (как описано в собственном документе Intel по предотвращению изменения климата ); например
nmap -p16992,16993,16994,16995,623,664 192.168.1.0/24
просканирует сеть 192.168.1 / 24 и сообщит о состоянии всех ответивших хостов. Возможность подключения к порту 623 может быть ложным срабатыванием (этот порт используют другие системы IPMI), но любой открытый порт с 16992 по 16995 является очень хорошим индикатором включенного AMT (по крайней мере, если они отвечают соответствующим образом: с AMT это означает HTTP-ответ на 16992 и 16993, последний с TLS).
Если вы видите ответы на портах 16992 или 16993, подключение к ним и запрос /с использованием HTTP вернет ответ со Serverстрокой, содержащей «Intel (R) Active Management Technology») в системах с включенным AMT; эта же строка будет также содержать версию используемой микропрограммы AMT, которую затем можно будет сравнить со списком, приведенным в рекомендациях Intel, чтобы определить, уязвима ли она.
См . Ответ CerberusSec для ссылки на скрипт, автоматизирующий вышеизложенное.
Существует два способа «исправить» проблему:
- обновите прошивку, как только производитель вашей системы предоставит обновление (если вообще);
- избегайте использования сетевого порта, обеспечивающего AMT, либо с помощью сетевого интерфейса, не поддерживающего AMT, в вашей системе, либо с помощью USB-адаптера (многие рабочие станции AMT, такие как системы C226 Xeon E3 с сетевыми портами i210, имеют только один AMT- совместимый сетевой интерфейс - остальные безопасны; обратите внимание, что AMT может работать через Wi-Fi, по крайней мере, в Windows, поэтому использование встроенного Wi-Fi также может привести к компрометации).
Если ни один из этих вариантов не доступен, значит, вы находитесь на территории смягчения последствий. Если ваша система с поддержкой AMT никогда не была подготовлена для AMT, то вы достаточно безопасны; включение AMT в этом случае, по-видимому, может быть сделано только локально, и, насколько я могу судить, требует использования встроенного программного обеспечения вашей системы или программного обеспечения Windows. Если AMT включен, вы можете перезагрузить компьютер и использовать встроенное ПО для его отключения (нажмите, CtrlPкогда сообщение AMT отображается во время загрузки).
По сути, хотя уязвимость привилегий довольно неприятна, похоже, что большинство систем Intel на самом деле не подвержены этой уязвимости. Для ваших собственных систем, работающих под управлением Linux или другой Unix-подобной операционной системы, эскалация, вероятно, требует физического доступа к системе, чтобы в первую очередь включить AMT. (Windows - другая история.) В системах с несколькими сетевыми интерфейсами, как указал Руи Ф. Рибейро , вы должны обращаться с интерфейсами с поддержкой AMT так же, как с любым интерфейсом администрирования (с поддержкой IPMI или с интерфейсом хоста). для виртуального гипервизора) и изолировать его в административной сети (физической или VLAN). Вы не можете полагаться на хост, чтобы защитить себя: iptablesи т. Д. Здесь неэффективны, потому что AMT видит пакеты раньше, чем операционная система (и сохраняет пакеты AMT для себя).
Виртуальные машины могут усложнить ситуацию, но только в том смысле, что они могут сбить с толку AMT и, таким образом, привести к ошибочным результатам сканирования, если AMT включен. amt-howto(7)приводит пример систем Xen, где AMT использует адрес, заданный DomU через DHCP, если таковой имеется, что означает, что при сканировании будет показано, что AMT активна в DomU, а не Dom0 ...