CVE-2017-5689 - Intel AMT/ME の権限昇格
Environment
- AMT (Active Management Technology) を使用する Intel システム
- Intel AMT が有効で、設定されている
Issue
Intel 社のチップセットには、システムの CPU やオペレーティングシステムから独立して実行する小規模なマイクロプロセッサーである "Management Engine" (ME) が含まれています。 この ME で実行している Intel AMT (Active Management Technology) に不具合が見つかりました。この不具合を利用すれば、リモートの攻撃者が「権限昇格」を行い、OS レベルの検出を回避することができます。
この不具合は、Red Hat に同梱されるソフトウェアによって作成されたり、影響を受けたり、軽減されたり、修正されたりすることはありません。
Resolution
Intel 社は、最新の公開されているセキュリティアドバイザリーで、CVE-2017-5689 を発表しました。この不具合を阻むためには、システムの ME ファームウェアをアップデートするか、AMT を無効にする必要があります。
- ME ファームウェアアップデートには、この不具合に対応するために修正された AMT コードが含まれているため、お使いのハードウェアのベンダーにお問い合わせください。
- ほとんどのシステムの BIOS または UEFI 設定で Intel AMT を無効にすることができます。Intel 社は、すぐにファームウェアのアップデートができない場合に適用すべき緩和策を公開しています。
オペレーティングシステム Intel AMT/ME を認識しておらず、制御することもできません。したがって、ソフトウェアプロバイダーである Red Hat は、ファームウェアの不具合に対応する修正を提供することはできません。さらに、特定のポートに対してファイアウォールを設定しても効果はありません。なぜなら、Intel AMT は、システムが気づく前に、システムに向かうはずのネットワークパケットを妨害することができるからです。
Root Cause
この不具合の実際の性質について利用できる情報は、現在限られています。 Intel 社が公開しているセキュリティアドバイザリーには、以下の情報が提供されています。
There are two ways this vulnerability may be accessed please note that Intel® Small Business Technology is not vulnerable to the first issue.
An unprivileged network attacker could gain system privileges to provisioned Intel manageability SKUs:Intel® Active Management Technology (AMT) and Intel® Standard Manageability (ISM).
CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
An unprivileged local attacker could provision manageability features gaining unprivileged network or local system privileges on Intel manageability SKUs:Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology (SBT).
CVSSv3 8.4 High /AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS v3 は、セキュリティの不具合と、システムへの潜在的な影響を分類するのに使用される評価システムです。各説明では、情報を簡略化するための略語が使用されています。略語の説明については CVSS user guide を参照してください。
Intel 社は、非認証ユーザー (PR:N) がローカルの物理接続 (AV:L) とネットワーク (AV:N) の両方から AMT にアクセスできることを述べています。 "Intel® Small Business Technology" を使用するシステムは、「ローカル」の攻撃ベクトルに対してのみ影響を受けます。
Red Hat は、攻撃者の代わりに任意のコードを実行するためには C:H、I:H、および A:H が必要だと考えています。ただし、Intel 社が Red Hat と同様のセキュリティメトリックスを適用するとは限りません。
Red Hat が不具合を評価する方法は Intel 社が採用している方法と異なるため、Intel 社で "Critical" や "High" に割り当てられているものがそのまま Red Hat severity ratings に換算されるとは限りません。お客様の環境に、この不具合がどのような影響を及ぼすかについてご検討ください。
Diagnostic Steps
AMT が有効になっていて、かつ ME に設定されている場合、システムはこの不具合の影響を受けます。AMT が有効になっている場合は、Intel ME コントローラーが lspci に表示され、デバイスの説明に MEI または HECI が表示されます。
たとえば以下のようになります。
# lspci | egrep '(MEI|HECI)'
00:16.0 Communication controller:Intel Corporation 6 Series/C200 Series Chipset Family MEI Controller #1 (rev 04)
AMT の設定方法については、お使いのハードウェアのベンダーにお問い合わせください。
補足情報
- すべてのコンシューマーハードウェアに AMT があるとは限りません。
- すべてのハードウェアで AMT が有効になっているとは限りません。
- すべての AMT ファームウェアが影響を受けるとは限りません (影響を受けるリリースについては Intels firmware table を参照)。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments