Разработчики компании Intel представили серию патчей, которые устраняют опасный баг в составе Intel Management Engine. Проблема затрагивает решения Intel Active Management Technology (AMT), Intel Standard Manageability (ISM), а также Intel Small Business Technology (SBT), и позволяет непривилегированному атакующему получить удаленный доступ к управлению оборудованием.
Все перечисленные продукты предназначены в первую очередь для системных администраторов, чтобы те могли управлять рабочими станциями и серверами удаленно, через сетевые порты 16992 и 16993. Соответственно, баг опасен для владельцев серверных систем и чипсетов, оснащенных Management Engine, и представители компании подчеркивают, что обычные пользовательские CPU проблеме не подвержены.
Уязвимость, получившая идентификатор CVE-2017-5689, была обнаружена в марте текущего года исследователем компании Embedi Макcимом Малютиным. Баг актуален для прошивок версий 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, и 11.6. Фактически, проблема появилась еще в 2010 году и продолжала существовать все последующие годы.
Специалисты объясняют, что уязвимость можно эксплуатировать двумя путями. В первом случае локальный атакующий может повысить свои привилегии через AMT, ISM или SBT, однако для этого понадобится обмануть пользователя, заставив того вручную запустить пейлоад. Во втором случае удаленный атакующий может использовать порты 16992 и 16993, если они открыты. Пакеты, отправленные на эти порты, обрабатываются Intel Management Engine, фактически ОС их даже не видит. И хотя для доступа к AMT, ISM или SBT нужен пароль, уязвимость, похоже, позволяет обойти его, после чего атакующий может удаленно изменить самые различные настройки, перезагрузить устройство, мониторить трафик, устанавливать обновления или вообще установить новую ОС. По сути, такой удаленный доступ практически равнозначен физическому доступу к машине.
Разработчики рекомендуют пользователям сначала проверить обновления OEM-производителей, но если таковых пока нет, на сайте Intel были опубликованы исправленные версии прошивок, а также подробный гайд по обнаружению уязвимых версий AMT, ISM и SBT.
Согласно данным Shodan, в настоящее время в интернете можно обнаружить около 6500 устройств с открытыми портами 16992 и 16993. ИБ-исследователь, известный под псевдонимом x0rz, уже обратил внимание на тот факт, что неизвестные начали сканировать данные порты около месяца назад, то есть до публикации официальной информации об уязвимости. Это позволяет предположить, что хакерский андеграунд узнал о баге еще месяц назад, впрочем, случаев эксплуатации проблемы злоумышленниками пока никем обнаружено не было.
Intel released their advisory yesterday, yet people started scanning for 16992 or 16993 last month ? #Intel #AMT #vulnerability pic.twitter.com/Dvg2025ABa
— x0rz (@x0rz) May 2, 2017