Первого мая 2017г. компанией Intel была опубликована информация о критической уязвимости (INTEL-SA-00075/ CVE-2017-5689) платформ Intel, имеющих функции Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT).

Уязвимость позволяет злоумышленнику получить привилегированный доступ к веб-интерфейсу управления Active Management Technology (AMT). Уязвимость актуальна для чипсетов Intel выпускаемыx с 2010 года, включая последние поколения Kaby Lake Core, с прошивками ME/AMT версий 6.х – 11.6.

Векторы атаки:

  • Удаленная эксплуатация. Злоумышленник может получить привилегированный удаленный доступ к веб-интерфейсу AMT/ISM.
  • Локальная эксплуатация. Злоумышленник, имея непривилегированный локальный доступ к системе, может повысить привилегии посредством развертывания и использования функций AMT/ISM/SBT.

Обновления безопасности

Компания Intel выпустила патч безопасности, закрывающий данную уязвимость. Но для установки данного патча необходимо, чтобы производитель оборудования (материнской платы, ноутбука, рабочей станции) интегрировал данный патч в новую версию прошивки. Для некоторых, уже неподдерживаемых систем, новые версии прошивок возможно не будут выпущены никогда.

Рекомендации

  • В качестве первичного экспресс-анализа произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.
  • Дополнительно необходимо проверить актуальность уязвимости для всех рабочих станций, серверов и других узлов сети, используя инструмент «INTEL-SA-00075 Discovery Tool», либо другие методы в соответствии с документом «INTEL-SA-00075 Detection Guide» https://downloadcenter.intel.com/download/26755.
  • Проверить доступность на сайте производителя вашего оборудования новой версии прошивки, исправляющей уязвимость (INTEL-SA-00075/ CVE-2017-5689). Установить в случае доступности.
  • Если новая версия прошивки недоступна, отключить функции AMT, ISM, SBM следуя руководству «INTEL-SA-00075 Mitigation Guide» https://downloadcenter.intel.com/download/26754.
  • Если отключение данных функций невозможно – ограничить доступ к данным машинам на сетевом уровне и/или заблокировать удаленный доступ к портам TCP:16992-16995, 623, 664. Следует иметь в виду, что это снизит риск только удаленной эксплуатации уязвимости.
Материалы по теме
  • Нормативные акты

    Список нормативных актов действующих в сфере импортозамещения ПО

  • Безопасность веб-приложений интернет-магазинов

    Крупные распродажи и предпразничная покупательская активность время, когда нужно быть очень внимательными. Киберпреступники в этот период особо активизируются и помимо создания сайтов-клонов и активной фишинговой рассылки практикуют проникновения на площадки интернет-магазинов.

  • Импортозамещение

    Несколько лет назад Правительством России был взят активный курс на импортозамещение. Для этого были созданы Правительственные комиссии по импортозамещению, начат процесс разработки пакета нормативных актов по поддержке отечественного производителя со стороны государства.