Retour sur la faille de sécurité d’Intel AMT

Une faille de sécurité dans un système de gestion/supervision de machine à base de chipset Intel fait grand bruit. Deux vulnérabilités permettent :

• d’accéder à l’interface de gestion de la machine en contournant l’authentification de celle-ci ;
• d’activer l’interface de gestion à distance par un attaquant local sans privilèges.

Ces deux vulnérabilités seraient présentes dans ce système depuis 10 ans, date des premiers Intel Core et de l’arrivée de la technologie AMT.

On peut retrouver le bulletin de sécurité d’Intel : INTEL-SA-00075.

Qu’est-ce que l’AMT ?

AMT, pour Active Management Technology, est une technologie matérielle d’Intel pour la gestion de parc d’ordinateurs permettant de gérer le monitoring, maintenance, mises à jour et réparation à distance des machines. Cette gestion est faite hors de la « vision » du système d’exploitation fonctionnant de la machine, via un co-processeur spécialisé d’Intel appelé le « Management Engine » qui est situé sur la carte mère.

Note : on parle essentiellement d’AMT, mais cette vulnérabilité concerne aussi l’ISM (Intel Standard Manageability) et SBT (Small Business Technology) d’Intel qui sont des technologies similaires.

Les serveurs sont-ils concernés ?

À première vue, on pourrait dire que oui. Les processeurs de serveurs sont souvent des processeurs Intel vPro, mais cela ne veut pas pour autant dire qu’ils sont dotés de la capacité AMT. Cette fonctionnalité concerne davantage des postes de travail en entreprise que des serveurs. Par exemple, les machines dotées d’Intel Xeon E3 et E5 utilisant le firmware SPS (Server Platform Services) ne sont pas concernées par cette vulnérabilité.

En fait, pour le management à distance de serveurs, on retrouve plutôt des cartes spécialisées de gestion à distance appelées BMC (Baseboard Management Controller) qui suivent les spécifications IPMI (Intelligent Platform Management Interface). Selon les fabricants, ces cartes ont des noms « packaging » différents (iDRAC pour DELL , iLO pour HP, etc.) mais proposent globalement un même ensemble de fonctionnalités de management sans intégrer les technologies de management d’Intel. La plupart des serveurs DELL Poweredge, HP Proliant et IBM xSeries que nous utilisons ne sont donc pas impactés par cette faille.

Dans le doute, il est nécessaire de contrôler. Ainsi, les constructeurs ont eux aussi à leur tour publié des bulletins de sécurité pour signaler les références des machines vulnérables ainsi que la présence de correctif pour celles-ci. Ci-dessous, plusieurs communications à ce propos :

• Lenovo : https://support.lenovo.com/fr/en/product_security/len-14963
• DELL  : http://en.community.dell.com/techcenter/extras/m/white_papers/20443914
  Pour ce qui est des serveurs, la réponse d’un employé de DELL sur les forums communautaires explique qu’il n’y a peu de machines concernées côté serveurs : http://en.community.dell.com/support-forums/servers/f/177/t/20011630
• HP : http://www8.hp.com/us/en/intelmanageabilityissue.html
• HPE : http://h22208.www2.hpe.com/eginfolib/securityalerts/CVE-2017-5689-Intel/CVE-2017-5689.html
• SuperMicro : http://supermicro.com/support/faqs/faq.cfm?faq=25595

Comment détecter des machines immédiatement vulnérables ?

Un simple scan réseau (avec nmap par exemple) sur les ports 16992,16993,16994,16995,623 et 664 permet de rapidement identifier les machines avec AMT qui sont accessibles. Il ne vous restera plus qu’à contrôler si le firmware est bien à jour sur les machines concernées.  Exemple :

nmap -p16992,16993,16994,16995,623,664 192.0.2.0/24

Plus poussé, un script python par Cerberus Security est disponible pour détecter si AMT est activé et s’il s’agit d’une version vulnérable. Il existe aussi un script nmap.

Comment se protéger si on est vulnérable ?

Il faut mettre à jour le micrologiciel/firmware de son matériel. Si aucune mise à jour n’est disponible, il faut alors désactiver AMT et bloquer les fonctionnalités de provisioning local de l’interface. Cela peut se faire directement via le BIOS ou sous Windows, Intel a publié un guide de mitigation… cela devrait bientôt arriver pour Linux comme annoncé par Intel.

Attention, utiliser iptables/netfliter sur la machine locale pour protéger l’accès à l’interface d’AMT est inutile ! Les paquets réseaux sont directement interceptés par le management engine sans être vu par l’OS. Le bloquage doit donc être fait en amont sut le réseau !

Liens utiles

Bulletin de sécurité d’Intel : INTEL-SA-00075
Plus d’informations sur AMT (wikipedia anglophone)
How to detect and mitigate the Intel escalation of privilege vulnerability on a Linux system (CVE-2017-5689)? (Unix Stackexchange – en anglais)