INTEL-SA-00709 的支援資訊Intel® 主動管理技術和Intel® Standard Manageability諮詢

文件

產品資訊與文件

000091553

2023 年 11 月 14 日

INTEL-SA-00709 Intel® 主動管理技術 (Intel® AMT) 和Intel® Standard Manageability公告

相關內容

INTEL-SA-00709

本文適用于 IT 從業人員。個人使用者應從其系統製造商那裡獲得具體指導。

CVE-2022-30601 和 CVE-2022-30944 概述

當Intel® AMT和Intel® Standard Manageability部署選擇使用非 TLS(傳輸層安全性)時,可能會暴露 CVE-2022-30601 和CVE-2022-30944 以下文檔中討論了與這兩個 CVE 相關的部署安全最佳實踐。

針對 CVE-2022-30601 和 CVE-2022-30944 的建議

Intel 建議使用者遵循現有的安全最佳做法和替代的安全控制措施,包括: 啟用和使用傳輸層安全性 (TLS) for Intel® AMT 和 Intel® Standard Manageability。Intel 還建議所有Intel® AMT和Intel® Standard Manageability客戶遷移到 TLS 埠。未來的 Intel® AMT 和 Intel® Standard Manageability 實現將不再具有非 TLS 選項。為方便目前可能使用非 TLS 埠的客戶過渡,Intel 將維持對Intel® AMT和Intel® Standard Manageability中非 TLS TCP/IP 埠(以及 TLS)的支援,直到搭載第 12 代Intel® Core™處理器的平臺。第 12 代 Intel® Core™ 處理器之後的平臺上,Intel® AMT 和 Intel® Standard Manageability 僅支援 TLS 埠。

CVE-2022-30601 的其他詳細資訊

Intel® AMT和Intel® Standard Manageability支援 HTTP 基本和 HTTP 摘要式身份驗證。在沒有 TLS 的情況下使用時,基本或摘要模式下的密碼容易受到攔截和重播固件的Intel® AMT和Intel® Standard Manageability憑據。

  • 對於收到未使用 Intel® EMA 配置的系統的使用者,Intel 建議遵循驗證已啟用 TLS 所需的特定步驟( 可在此處獲取)。這將確保在交付設備後正確配置Intel® AMT和Intel® Standard Manageability。
  • Intel® AMT和Intel® Standard Manageability支援配置旨在啟用 TLS 安全性,而無需取消配置和重新配置。請注意,客戶用於配置和使用Intel® AMT和Intel® Standard Manageability的軟體工具也必須支援 TLS。
  • Intel® Endpoint Management Assistant (Intel® EMA) 將設備配置為使用 TLS。

CVE-2022-30944 的其他詳細資訊

Intel® AMT和Intel® Standard Manageability支援 HTTP 基本和 HTTP 摘要式身份驗證。在沒有 TLS 的情況下使用時,通過埠 16992 的事務的原始有效負載將作為純文字在作業系統的記憶體中公開,從而公開Intel® AMT和Intel® Standard Manageability憑據。

  • Intel® AMT或Intel® Standard Manageability容易受到特權使用者的資訊檢索,該特權使用者能夠直接存取作業系統記憶體中未加密的Intel® AMT或Intel® Standard Manageability密碼。
  • 若要緩解此問題,建議在啟動 Intel® AMT 和 Intel® Standard Manageability 時,使用 Intel® AMT 和 Intel® Standard Manageability v14 或更高版本以及 Intel® EMA 等遠端系統管理軟體,因為它們使用 TLS 加密進行啟動,並通過基於作業系統的軟體堆疊與 Intel® AMT 和 Intel® Standard Manageability 通信。
  • Intel® AMT和Intel® Standard Manageability固件版本 11.8.x 到 12.x 不支援 TLS 進行帶內啟動。
  • 如果添加使用者或更改 Intel® AMT 或 Intel® Standard Manageability 的使用者憑據,請僅通過 TLS Intel® AMT或Intel® Standard Manageability使用遠端主控台。

CVE-2022-28697概述

如果未設定 BIOS 密碼以保護 Intel® Management Engine BIOS Extension 中的Intel® AMT配置 (Intel® MEBx),則可能會暴露CVE-2022-28697。下面的文檔中討論了 BIOS 密碼安全性最佳做法:

針對 CVE-2022-28697 的建議

Intel 建議使用者遵循現有的安全最佳做法和替代的安全控制措施,包括: 在Intel® Management Engine BIOS Extension上啟用 BIOS 密碼保護 (Intel® MEBX)。從系統製造商處收到系統後,立即為Intel® AMT或Intel® Standard Manageability設置非預設密碼。

CVE-2022-28697 的其他詳細資訊

具有平臺物理存取權限的未經身份驗證的使用者可能能夠在最終使用者不知情的情況下預配 AMT。

請注意,以下步驟僅供參考,可能因系統製造商而異。

  • 使用者可以通過在啟動期間訪問 MEBX 來驗證是否已配置Intel® AMT或Intel® Standard Manageability。
  • 如果使用 MEBX 配置Intel® AMT或Intel® Standard Manageability,則必須將預設使用者名和密碼更改為另一個值。
  • 如果使用者由於密碼未知而無法訪問功能表,則需要將Intel® AMT或Intel® Standard Manageability恢復出廠設置以恢復預設使用者名和密碼,以確保未配置Intel® AMT或Intel® Standard Manageability。有關如何執行此類重設,請與系統製造商聯繫。
  • 如果使用者更改密碼並登錄,他們可以轉到Intel® AMT或Intel® Standard Manageability配置功能表,並查看「啟動網路訪問」選項是否可用。
    • 如果存在功能表選項,則表示未配置Intel® AMT或Intel® Standard Manageability。
    • 如果功能表選項不存在,則表示已在該設備上配置了Intel® AMT或Intel® Standard Manageability。
  • Intel® AMT或Intel® Standard Manageability可以從同一功能表中取消配置。這將確保在交付設備後正確配置Intel® AMT或Intel® Standard Manageability。