Auteur Sujet: Faille 0-day sur la fonction AMT d'Intel  (Lu 4999 fois)

0 Membres et 1 Invité sur ce sujet

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 368
  • Malissard (26)
Faille 0-day sur la fonction AMT d'Intel
« le: 06 mai 2017 à 20:54:39 »
Annoncée le 1er mai (CVE-2017-5689), la vulnérabilité est pire qu'annoncée, un exploit très simple serait réalisable.

"Details of the vulnerability will with high probability become public within 24 hours. The exploit is trival, max five lines of Python, could be doable in one-line shell command. It gives full control of affected machines, including the ability to read and modify everything. It can be used to install persistent malware (possibly in firmware), and read and modify any data. For security servers, it may allow disabling security features, creating fake credentials, or obtaining root keys.

DISABLE AMT TODAY! See links to instructions below. Mobilize whomever you need. Start from the most critical servers: Active Directory, certificate authorities, critical databases, code signing servers, firewalls, security servers, HSMs (if they have it enabled). For data centers, if you can, block ports 16992, 16993, 16994, 16995, 623, 664 in internal firewalls now.

If you have anything connected to the Internet with AMT on, disable it now. Assume the server has already been compromised."


https://www.ssh.com/vulnerability/intel-amt/


alain_p

  • Client Free fibre
  • *
  • Messages: 6 255
  • Les Ulis (91)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #1 le: 06 mai 2017 à 21:12:26 »
Le ton est un peu dramatique. En ce qui concerne les serveurs, par exemple, les serveurs Dell PowerEdge ne semblent pas concernés :

The Intel vPro/AMT features are not leveraged in the Poweredge servers, because of the iDrac. The T20 is the exception to this, but there does appear to be a patch in the works for it.

http://en.community.dell.com/support-forums/servers/f/177/t/20011630

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 368
  • Malissard (26)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #2 le: 06 mai 2017 à 21:18:49 »
HP est impacté sur la gamme Proliant ML10 Gen9.

Lenovo est impacté sur ses ThinkServer: https://support.lenovo.com/fr/en/product_security/len-14963#ThinkServer

IBM n'a rien dit encore et il y a aussi SuperMicro qui est très répandu. Sans oublier qu'Intel fournit aussi des cartes mères serveurs.

Donc oui il y a de quoi s'affoler, Dell ne représente pas la majorité.

vivien

  • Administrateur
  • *
  • Messages: 30 556
    • Twitter LaFibre.info
Faille 0-day sur la fonction AMT d'Intel
« Réponse #3 le: 06 mai 2017 à 21:26:38 »
A partir de quelle génération de CPU on est susceptible d'être affecté ?

IBM ne fabrique plus de serveur x86 depuis fin 2014, ils pourraient être affectés ? (les serveurs x86 d'IBM appartiennent à Lenovo depuis le 1er octobre 2014)

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 368
  • Malissard (26)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #4 le: 06 mai 2017 à 21:31:21 »
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

"Currently, AMT is available in desktops, servers, ultrabooks, tablets, and laptops with Intel Core vPro processor family, including Intel Core i3, i5, i7, and Intel Xeon processor E3-1200 product family.[1][10][11]

Intel has confirmed a Remote Elevation of Privilege bug (CVE-2017-5689) in its Management Technology, on 1 May 2017.[12] Every Intel platform with either Intel Standard Manageability, Active Management Technology, or Small Business Technology, from Nehalem in 2008 to Kaby Lake in 2017 has a remotely exploitable security hole in the IME (Intel Management Engine).[13][14]
"

On n'est pas dans la merde...

alain_p

  • Client Free fibre
  • *
  • Messages: 6 255
  • Les Ulis (91)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #5 le: 06 mai 2017 à 21:42:57 »
Même si les serveurs physiques sont impactés, en ces temps de machines virtuelles généralisées, ils sont eux-mêmes rarement directement sur Internet. Et même s'ils l'étaient, les port mentionnés sont rarement ouverts sur l'extérieur.

Il faudrait donc que ce soit surtout de l'intranet que la faille soit exploitée. Pas d'affolement, de la raison...

BadMax

  • Client Free adsl
  • Modérateur
  • *
  • Messages: 3 368
  • Malissard (26)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #6 le: 06 mai 2017 à 21:56:51 »
AMT est un management Out-Of-Band dont l'OS n'a pas conscience. Même sur un hardware avec hyperviseur, AMT est transparent et permet par exemple de lancer une console VNC à distance.

Même si tu actives un iptables sur ton serveur, c'est actif.


alain_p

  • Client Free fibre
  • *
  • Messages: 6 255
  • Les Ulis (91)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #7 le: 06 mai 2017 à 21:59:17 »
En général, le pare-feu n'est pas sur ton serveur (en tout cas pas le principal), il est sur une machine dédiée en amont.

P.S : cela me rappelle un petit débat avec corrector sur l'utilité des pare-feu... Pas de service accessible dans l'OS, mais quand même sur la machine !

vivien

  • Administrateur
  • *
  • Messages: 30 556
    • Twitter LaFibre.info
Faille 0-day sur la fonction AMT d'Intel
« Réponse #8 le: 06 mai 2017 à 22:04:48 »
Pour ceux qui se demandent, Nehalem, c'est avant les processeurs Core (juste avant le processeur Core de première génération)

Nehalem
Westmere => Gen1
Sandy-Bridge => Gen2
Ivy-Bridge => Gen3
Haswell => Gen4
Broadwell => Gen5
Skylake => Gen6
Kaby-Lake => Gen7
Cannonlake => Gen8

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 571
  • La Madeleine (59)
Faille 0-day sur la fonction AMT d'Intel
« Réponse #9 le: 06 mai 2017 à 22:10:44 »
À mettre en relation avec l'IPMI

corrector

  • Invité
Faille 0-day sur la fonction AMT d'Intel
« Réponse #10 le: 06 mai 2017 à 23:55:17 »
En général, le pare-feu n'est pas sur ton serveur (en tout cas pas le principal), il est sur une machine dédiée en amont.

P.S : cela me rappelle un petit débat avec corrector sur l'utilité des pare-feu... Pas de service accessible dans l'OS, mais quand même sur la machine !
Oui, cela me renforce dans l'idée que le pare-feu d'hôte (type iptables) pour bloquer les connexions entrantes ne sert pas à grand chose.

corrector

  • Invité
Faille 0-day sur la fonction AMT d'Intel
« Réponse #11 le: 07 mai 2017 à 00:20:39 »
À mettre en relation avec l'IPMI
IPMI: The most dangerous protocol you've never heard of

IPMI could be punching holes in your corporate defenses.

You spend thousands or even hundreds of thousands of dollars to secure the data stored on the critical databases and application servers your organization relies on. But what if each of those systems secretly harbored a powerful, hardware based back door that would give a remote attacker total control of the system? And what if that backdoor wasn't planted by some shadowy hacker group operating out of the former Soviet republics, but by the multi-billion dollar Western company that sold you the server in the first place?

If that sounds fantastic, I've got one word...err...acronym for you: IPMI, and its turning into the new four letter word in security. IPMI stands for Intelligent Platform Management Interface. It's a powerful protocol that is supported by many late model server hardware from major manufacturers like Dell, HP, Oracle and Lenovo.


http://www.itworld.com/article/2708437/security/ipmi--the-most-dangerous-protocol-you-ve-never-heard-of.html

 

Mobile View