Thông tin hỗ trợ cho Tư vấn Intel® Active Management Technology và Intel® Standard Manageability INTEL-SA-00709
Tư vấn INTEL-SA-00709 Intel® Active Management Technology (Intel® AMT) và Intel® Standard Manageability
Nội dung liên quan
Bài viết này dành cho những người hành nghề CNTT. Người dùng cá nhân nên nhận được hướng dẫn cụ thể từ nhà sản xuất hệ thống của họ.
Tổng quan CVE-2022-30601 và CVE-2022-30944
CVE-2022-30601 và CVE-2022-30944 có thể bị lộ khi lựa chọn triển khai Intel® AMT và Intel® Standard Manageability được thực hiện để sử dụng không phải TLS (Bảo mật lớp truyền tải). Các phương pháp hay nhất về bảo mật triển khai liên quan đến hai CVE này được thảo luận trong các tài liệu dưới đây.
Các khuyến nghị cho CVE-2022-30601 và CVE-2022-30944
Intel khuyến nghị người dùng tuân thủ các biện pháp bảo mật tốt nhất hiện có và các biện pháp kiểm soát bảo mật thay thế, bao gồm: Bật và sử dụng Bảo mật lớp truyền tải (TLS) cho Intel® AMT và Intel® Standard Manageability. Intel cũng khuyến nghị tất cả khách hàng Intel® AMT và Intel® Standard Manageability chuyển sang cổng TLS. Các triển khai Intel® AMT và Intel® Standard Manageability trong tương lai sẽ không còn tùy chọn không phải TLS nữa. Để tạo điều kiện thuận lợi cho việc chuyển đổi này cho những khách hàng có thể hiện đang sử dụng các cổng không phải TLS, Intel sẽ duy trì hỗ trợ cho các cổng TCP/IP không phải TLS (cũng như TLS) trong Intel® AMT và Intel® Standard Manageability thông qua các nền tảng dựa trên bộ xử lý Intel® Core™ Thế hệ thứ 12. Chỉ các cổng TLS mới được hỗ trợ trong Intel® AMT và Intel® Standard Manageability trên các nền tảng sau thế hệ bộ xử lý Intel® Core™ thế hệ thứ 12.
Chi tiết bổ sung cho CVE-2022-30601
Intel® AMT and Intel® Standard Manageability hỗ trợ HTTP basic và HTTP digest authentication. Khi được sử dụng mà không có TLS, mật khẩu ở chế độ cơ bản hoặc thông tin chi tiết dễ bị chặn và phát lại thông tin đăng nhập Intel® AMT và Intel® Standard Manageability vào phần sụn.
- Đối với người dùng đã nhận được hệ thống không được định cấu hình bằng Intel® EMA, Intel khuyên bạn nên làm theo các bước cụ thể cần thiết để xác minh rằng TLS đã được bật (có sẵn tại đây). Điều này sẽ đảm bảo rằng Intel® AMT và Intel® Standard Manageability được định cấu hình chính xác sau khi thiết bị được phân phối.
- Cấu hình hỗ trợ Intel® AMT và Intel® Standard Manageability được thiết kế để kích hoạt bảo mật TLS mà không cần phải hủy cấu hình và cấu hình lại. Lưu ý rằng các công cụ phần mềm mà khách hàng sử dụng để định cấu hình và sử dụng Intel® AMT và Intel® Standard Manageability cũng phải hỗ trợ TLS.
- Intel® Endpoint Management Assistant (Intel® EMA) định cấu hình thiết bị để sử dụng TLS.
Chi tiết bổ sung cho CVE-2022-30944
Intel® AMT and Intel® Standard Manageability hỗ trợ HTTP basic và HTTP digest authentication. Khi được sử dụng mà không có TLS, tải trọng thô của các giao dịch qua cổng 16992 sẽ được hiển thị trong bộ nhớ của hệ điều hành dưới dạng văn bản thuần túy, do đó làm lộ thông tin đăng nhập Intel® AMT và Intel® Standard Manageability.
- Intel® AMT hoặc Intel® Standard Manageability dễ bị truy xuất thông tin thông qua người dùng đặc quyền có thể truy cập trực tiếp vào mật khẩu Intel® AMT hoặc mật khẩu Intel® Standard Manageability không được mã hóa trong bộ nhớ hệ điều hành.
- Để giảm thiểu sự cố này, bạn nên sử dụng Intel® AMT và Intel® Standard Manageability v14 trở lên và phần mềm quản lý từ xa như Intel® EMA khi kích hoạt Intel® AMT và Intel® Standard Manageability khi chúng sử dụng mã hóa TLS để kích hoạt và liên lạc với Intel® AMT và Intel® Standard Manageability thông qua ngăn xếp phần mềm dựa trên hệ điều hành.
- Intel® AMT và Intel® Standard Manageability phiên bản firmware 11.8.x đến 12.x không hỗ trợ TLS để kích hoạt trong băng tần.
- Nếu thêm người dùng hoặc thay đổi thông tin đăng nhập người dùng bằng Intel® AMT hoặc Intel® Standard Manageability, chỉ sử dụng bảng điều khiển từ xa qua Intel® AMT hoặc Intel® Standard Manageability với TLS.
Tổng quan CVE-2022-28697
CVE-2022-28697 có thể bị lộ khi mật khẩu BIOS không được đặt để bảo vệ cấu hình Intel® AMT trong Intel® Management Engine BIOS Extension (Intel® MEBx). Các phương pháp hay nhất về bảo mật mật khẩu BIOS được thảo luận trong tài liệu dưới đây:
Khuyến nghị cho CVE-2022-28697
Intel khuyến nghị người dùng tuân thủ các biện pháp bảo mật tốt nhất hiện có và các biện pháp kiểm soát bảo mật thay thế, bao gồm: Bật bảo vệ bằng mật khẩu BIOS trên Intel® Management Engine BIOS Extension (Intel® MEBX). Đặt mật khẩu không mặc định cho Intel® AMT hoặc Intel® Standard Manageability ngay sau khi nhận được hệ thống từ nhà sản xuất hệ thống.
Chi tiết bổ sung cho CVE-2022-28697
Người dùng chưa được xác thực có quyền truy cập vật lý vào nền tảng có thể cung cấp AMT mà người dùng cuối không biết.
Lưu ý rằng các bước dưới đây mang tính chất tham khảo và có thể khác nhau tùy theo nhà sản xuất hệ thống.
- Người dùng có thể xác minh xem Intel® AMT hoặc Intel® Standard Manageability đã được cấu hình hay chưa bằng cách truy cập MEBX trong khi khởi động.
- Nếu MEBX được sử dụng để định cấu hình Intel® AMT hoặc Intel® Standard Manageability, tên người dùng và mật khẩu mặc định sẽ phải được thay đổi thành một giá trị khác.
- Nếu người dùng không thể truy cập menu do mật khẩu không xác định, Intel® AMT hoặc Intel® Standard Manageability sẽ cần được khôi phục cài đặt gốc để khôi phục tên người dùng và mật khẩu mặc định để đảm bảo Intel® AMT hoặc Intel® Standard Manageability không được định cấu hình. Liên hệ với nhà sản xuất hệ thống về cách thực hiện thiết lập lại như vậy.
- Nếu người dùng thay đổi mật khẩu và đăng nhập, họ có thể vào menu cấu hình Intel® AMT hoặc Intel® Standard Manageability và kiểm tra xem tùy chọn "Kích hoạt quyền truy cập mạng" có khả dụng hay không.
- Nếu tùy chọn menu có mặt, điều đó cho biết rằng Intel® AMT hoặc Intel® Standard Manageability không được định cấu hình.
- Nếu tùy chọn menu không có thì Intel® AMT hoặc Intel® Standard Manageability đã được định cấu hình trên thiết bị đó.
- Intel® AMT hoặc Intel® Standard Manageability có thể được hủy cấu hình từ cùng một menu này. Điều này sẽ đảm bảo rằng Intel® AMT hoặc Intel® Standard Manageability được định cấu hình chính xác sau khi thiết bị được giao.