对此应该有奖励。我们叫他们混蛋吧。最容易被劫持的服务器就是那些使用英特尔主动管理技术(AMT)的服务器。
人们警告过我这一点,我对此嗤之以鼻。请递给我一个刮刀,我好把脸上的蛋擦掉。这些服务器极其简单,一个三年级的孩子可以登录进去,轻松地进行根本上的root破坏。
+也在网络世界:足球竞猜app软件10种提高网络安全的方法+
这个地球上最大的服务器CPU供应商没有对自己的行为表示真诚的道歉(美联航出了问题?)我并不感到惊讶。再也没有人死在他们的剑下了。没有人把产品经理从餐厅后面带出来,也没有人把管理玩具室的钥匙脱下。这一切都很有趣。哦。对不起,人
英特尔是AMD和甲骨文在地球上销售的大部分服务器的供应商,这已经是其中的大部分了,委婉地说,它搞砸了。上周,英特尔发布了安全建议它的AMT、标准可管理性(ISM)和小型企业技术(SBT)固件版本6到11.6有一个漏洞,允许“没有特权的攻击者获得对这些产品提供的可管理性特性的控制。”
这是一种保守的说法。
正确的措辞应该是:“我们的黑箱远程管理功能原来是一个银河系大小的安全漏洞,但为了您的方便,我们对它进行了11年的扩充。”
英特尔的响应
英特尔建议易受攻击的客户安装一个固件补丁。答案是a发表声明“我们已经实施并验证了固件更新来解决这个问题,我们正在与计算机制造商合作,以促进与他们的软件快速而顺利的集成。”我们预计电脑制造商将在5月8日这周开始并继续提供更新。”
这个补丁最初只提供Windows版本,并且必须在你的团队中的每台Intel服务器上执行。
大多数防火墙已经保护了端口,你可以愉快地爬进去并升起你最喜欢的旗帜。也许吧。
正如现就职于ArsTechica的Dan Goodin所说,这个问题比看起来更可怕。仅在美国就发现了超过2000台服务器。他们只是那些面对公众的人。有多少在你的保护域内?为什么问?因为使用AMT的相同技巧在您的防火墙内也可以使用,就像在通常不受保护的情况下使用up against it一样,在一个叫做您的网络的神奇的、不真实的世界中。
让我们快速回顾一下:
1.您将访问您的每一台服务器,没有例外,并确保关闭未使用的端口。未使用的端口意味着您不会积极使用的任何东西,对吗?是的,我们知道在微软、VMware和很多不可靠的管理软件之间,可能有100多个端口是开放的。这个怎么样?你知道AMT端口号吗是吗?正确答案是16992-16995,以及5900和623/664。
2.您的防火墙也这样做,对吗?同样的端口,同样的区块。对吧?
3.你也在Wi-Fi和管理网络背板上做这个,对吧?你知道你需要哪些港口吗?你有审计证明吗?
4.您正在使用vlan分段您的网络,对吗?您所有的vlan都遵循相同的方案吗?他们不?为什么不呢?
5.不,这与Windows无关,但第一个修复会到达Windows。Windows是世界上唯一的操作系统,对吧?心灵卷。英特尔应该提供一种万无一失的方法来杀死AMT,句号,故事结束。
6.如果有必要,你可能不得不采取自己的手和大规模杀死整个英特尔管理引擎/我,以防止其黑箱硬件做坏事。Linux的死硬派已经在这方面工作了一段时间了,但是这并不容易。
那就必须继续所有你的英特尔服务器。享受。
7.记住,你的每一个基于英特尔处理器的服务器设备,离散的服务器,健康剂量的销售点系统,直至无限都容易受到后门回到,是的,2006年。
8.AMD在提供管理平面界面方面也处于类似的位置,但到目前为止,我还没有发现对它的批评,除了它不是英特尔的,但没有突出的CVEs。然而。
9.路由器和IDS/IPS jockey知道如何监视到上述端口的错误流量。你最近检查过吗?你是否查看过你的系统日志,看看AMT端口是否被嗅出了?
10.如果你想给英特尔发一封邮件,请随意。告诉他们可以通过有趣和新奇的方式实现对计算机的shell访问。告诉他们你对进入主服务器资产的后门非常不满。然后提醒自己垄断的问题。