INTEL-SA-00709 的支援資訊Intel® 主動管理技術和Intel® Standard Manageability諮詢
內容類型: 產品資訊與文件 | 文章 ID: 000091553 | 最近查看日期: 2023 年 11 月 14 日
本文適用于 IT 從業人員。個人使用者應從其系統製造商那裡獲得具體指導。
當Intel® AMT和Intel® Standard Manageability部署選擇使用非 TLS(傳輸層安全性)時,可能會暴露 CVE-2022-30601 和CVE-2022-30944。 以下文檔中討論了與這兩個 CVE 相關的部署安全最佳實踐。
針對 CVE-2022-30601 和 CVE-2022-30944 的建議
Intel 建議使用者遵循現有的安全最佳做法和替代的安全控制措施,包括: 啟用和使用傳輸層安全性 (TLS) for Intel® AMT 和 Intel® Standard Manageability。Intel 還建議所有Intel® AMT和Intel® Standard Manageability客戶遷移到 TLS 埠。未來的 Intel® AMT 和 Intel® Standard Manageability 實現將不再具有非 TLS 選項。為方便目前可能使用非 TLS 埠的客戶過渡,Intel 將維持對Intel® AMT和Intel® Standard Manageability中非 TLS TCP/IP 埠(以及 TLS)的支援,直到搭載第 12 代Intel® Core™處理器的平臺。第 12 代 Intel® Core™ 處理器之後的平臺上,Intel® AMT 和 Intel® Standard Manageability 僅支援 TLS 埠。
CVE-2022-30601 的其他詳細資訊
Intel® AMT和Intel® Standard Manageability支援 HTTP 基本和 HTTP 摘要式身份驗證。在沒有 TLS 的情況下使用時,基本或摘要模式下的密碼容易受到攔截和重播固件的Intel® AMT和Intel® Standard Manageability憑據。
CVE-2022-30944 的其他詳細資訊
Intel® AMT和Intel® Standard Manageability支援 HTTP 基本和 HTTP 摘要式身份驗證。在沒有 TLS 的情況下使用時,通過埠 16992 的事務的原始有效負載將作為純文字在作業系統的記憶體中公開,從而公開Intel® AMT和Intel® Standard Manageability憑據。
如果未設定 BIOS 密碼以保護 Intel® Management Engine BIOS Extension 中的Intel® AMT配置 (Intel® MEBx),則可能會暴露CVE-2022-28697。下面的文檔中討論了 BIOS 密碼安全性最佳做法:
針對 CVE-2022-28697 的建議
Intel 建議使用者遵循現有的安全最佳做法和替代的安全控制措施,包括: 在Intel® Management Engine BIOS Extension上啟用 BIOS 密碼保護 (Intel® MEBX)。從系統製造商處收到系統後,立即為Intel® AMT或Intel® Standard Manageability設置非預設密碼。
CVE-2022-28697 的其他詳細資訊
具有平臺物理存取權限的未經身份驗證的使用者可能能夠在最終使用者不知情的情況下預配 AMT。
請注意,以下步驟僅供參考,可能因系統製造商而異。