Informations d’assistance sur l’avis de Technologie d'administration active Intel® et Intel® Standard Manageability INTEL-SA-00709
INTEL-SA-00709 Technologie d'administration active Intel® (Intel® AMT) et Intel® Standard Manageability avis
Contenu connexe
Cet article est destiné aux informaticiens. Les utilisateurs individuels doivent obtenir des conseils spécifiques de la part des fabricants de leurs systèmes.
Présentation de CVE-2022-30601 et CVE-2022-30944
CVE-2022-30601 et CVE-2022-30944 peuvent être exposées lorsqu’un choix de déploiement Intel® AMT et Intel® Standard Manageability est fait d’utiliser un protocole non TLS (Transport Layer Security). Les meilleures pratiques de sécurité de déploiement liées à ces deux CVE sont abordées dans les documents ci-dessous.
Recommandations pour CVE-2022-30601 et CVE-2022-30944
Intel recommande aux utilisateurs de suivre les meilleures pratiques de sécurité existantes et d’autres contrôles de sécurité, notamment : Activer et utiliser Transport Layer Security (TLS) pour Intel® AMT et Intel® Standard Manageability. Intel recommande également à tous les clients Intel® AMT et Intel® Standard Manageability d’effectuer la migration vers les ports TLS. Les futures implémentations Intel® AMT et Intel® Standard Manageability n’auront plus d’option non-TLS. Afin de faciliter cette transition pour les clients qui utilisent actuellement des ports non-TLS, Intel maintiendra la prise en charge des ports TCP/IP non-TLS (ainsi que TLS) dans Intel® AMT et Intel® Standard Manageability jusqu’aux plateformes basées sur des processeurs Intel® Core™ de 12e génération. Seuls les ports TLS seront pris en charge en Intel® AMT et Intel® Standard Manageability sur les plates-formes suivant la génération des processeurs Intel® Core™ de 12e génération.
Informations supplémentaires sur CVE-2022-30601
Intel® AMT and Intel® Standard Manageability prend en charge l’authentification HTTP de base et l’authentification HTTP Digest. Lorsqu’il est utilisé sans TLS, le mot de passe en mode de base ou Digest est susceptible d’intercepter et de rejouer le Intel® AMT et Intel® Standard Manageability informations d’identification du micrologiciel.
- Pour les utilisateurs qui ont reçu un système qui n’a pas été configuré à l’aide de Intel® EMA, Intel recommande de suivre les étapes spécifiques nécessaires pour vérifier que TLS est activé (disponible ici). Cela garantira que Intel® AMT et Intel® Standard Manageability est configuré correctement après la livraison de l’appareil.
- Intel® AMT et Intel® Standard Manageability configuration de prise en charge a été conçue pour activer la sécurité TLS sans qu’il soit nécessaire de la déconfigurer ou de la reconfigurer. Notez que les outils logiciels que les clients utilisent pour configurer et utiliser Intel® AMT et Intel® Standard Manageability doivent également prendre en charge TLS.
- Intel® Endpoint Management Assistant (Intel® EMA) configure les périphériques pour utiliser TLS.
Informations supplémentaires concernant CVE-2022-30944
Intel® AMT and Intel® Standard Manageability prend en charge l’authentification HTTP de base et l’authentification HTTP Digest. Lorsqu’elles sont utilisées sans TLS, les charges utiles brutes des transactions sur le port 16992 sont exposées dans la mémoire du système d’exploitation sous forme de texte brut, exposant ainsi les informations d’identification Intel® AMT et Intel® Standard Manageability.
- Intel® AMT ou Intel® Standard Manageability est susceptible d’être récupéré via un utilisateur privilégié pouvant accéder directement au Intel® AMT non chiffré ou à Intel® Standard Manageability mot de passe dans la mémoire du système d’exploitation.
- Pour pallier ce problème, Intel® AMT et Intel® Standard Manageability v14 ou version ultérieure et les logiciels de gestion à distance tels que Intel® EMA sont recommandés lors de l’activation de Intel® AMT et Intel® Standard Manageability car ils utilisent le chiffrement TLS pour l’activation et la communication avec les Intel® AMT et Intel® Standard Manageability via la pile logicielle basée sur le système d’exploitation.
- Intel® AMT et Intel® Standard Manageability versions 11.8.x à 12.x du microprogramme ne prennent pas en charge TLS pour l’activation intrabande.
- Si vous ajoutez des utilisateurs ou modifiez les informations d’identification utilisateur de Intel® AMT ou Intel® Standard Manageability, utilisez uniquement une console distante sur Intel® AMT ou Intel® Standard Manageability avec TLS.
Présentation de CVE-2022-28697
CVE-2022-28697 peut être exposé lorsque le mot de passe du BIOS n’est pas défini pour protéger la configuration Intel® AMT dans Intel® Management Engine BIOS Extension (Intel® MEBx). Les meilleures pratiques en matière de sécurité des mots de passe du BIOS sont abordées dans le document ci-dessous :
Recommandations pour CVE-2022-28697
Intel recommande aux utilisateurs de suivre les meilleures pratiques de sécurité existantes et d’autres contrôles de sécurité, notamment : Activer la protection par mot de passe du BIOS sur le Intel® Management Engine BIOS Extension (Intel® MEBX). Définissez un mot de passe autre que celui par défaut pour Intel® AMT ou Intel® Standard Manageability immédiatement après réception du système par le fabricant du système.
Informations supplémentaires sur CVE-2022-28697
Un utilisateur non authentifié disposant d’un accès physique à la plateforme peut être en mesure de fournir AMT à l’insu de l’utilisateur final.
Notez que les étapes ci-dessous sont fournies à titre indicatif et peuvent varier selon le fabricant du système.
- Un utilisateur peut vérifier si Intel® AMT ou Intel® Standard Manageability a été configuré en accédant au MEBX pendant le démarrage.
- Si le MEBX était utilisé pour configurer Intel® AMT ou Intel® Standard Manageability, le nom d’utilisateur et le mot de passe par défaut devraient être remplacés par une autre valeur.
- Si un utilisateur ne peut pas accéder au menu en raison d’un mot de passe inconnu, Intel® AMT ou Intel® Standard Manageability doit être réinitialisé aux paramètres d’usine pour restaurer le nom d’utilisateur et le mot de passe par défaut afin de s’assurer que Intel® AMT ou Intel® Standard Manageability ne sont pas configurés. Contactez le fabricant du système pour savoir comment effectuer une telle réinitialisation.
- Si un utilisateur change de mot de passe et se connecte, il peut accéder au menu de configuration Intel® AMT ou Intel® Standard Manageability et vérifier si l’option « Activer l’accès réseau » est disponible.
- Si l’option de menu est présente, cela indique que Intel® AMT ou Intel® Standard Manageability ne sont pas configurés.
- Si l’option de menu n’est pas présente, Intel® AMT ou Intel® Standard Manageability ont été configurés sur cet appareil.
- Intel® AMT ou Intel® Standard Manageability peuvent être déconfigurés à partir de ce même menu. Cela garantira que Intel® AMT ou Intel® Standard Manageability est configuré correctement après la livraison de l’appareil.