Información de asistencia para INTEL-SA-00709 Intel® Active Management Technology y asesoramiento Intel® Standard Manageability
INTEL-SA-00709 Intel® Active Management Technology (Intel® AMT) y Intel® Standard Manageability Advisory
Contenido relacionado
Este artículo está destinado a profesionales de TI. Los usuarios individuales deben recibir orientación específica de sus fabricantes de sistemas.
CVE-2022-30601 y CVE-2022-30944 Descripción general
CVE-2022-30601 y CVE-2022-30944 pueden quedar expuestos cuando se elige una implementación de Intel® AMT y Intel® Standard Manageability para utilizar una seguridad que no sea TLS (Seguridad de la capa de transporte). Las prácticas recomendadas de seguridad de implementación relacionadas con estos dos CVE se describen en los documentos siguientes.
Recomendaciones para CVE-2022-30601 y CVE-2022-30944
Intel recomienda que los usuarios sigan las mejores prácticas de seguridad existentes y controles de seguridad alternativos, entre ellos: Habilitar y utilizar la Seguridad de la Capa de Transporte (TLS) para Intel® AMT y Intel® Standard Manageability. Intel también recomienda a todos los clientes Intel® AMT y Intel® Standard Manageability migrar a los puertos TLS. Las implementaciones futuras de Intel® AMT y Intel® Standard Manageability ya no tendrán como opción elementos que no sean TLS. Para facilitar esta transición a los clientes que actualmente utilizan puertos que no son TLS, Intel mantendrá la compatibilidad con puertos TCP/IP no TLS (así como TLS) en las plataformas basadas en procesadores Intel® AMT y Intel® Standard Manageability hasta la 12ª generación Intel® Core™. Solo se admitirán los puertos TLS en Intel® AMT y Intel® Standard Manageability en las plataformas posteriores a la generación de procesadores Intel® Core™ de 12ª generación.
Información adicional para CVE-2022-30601
Intel® AMT y Intel® Standard Manageability admite autenticación HTTP básica y HTTP digest. Cuando se usa sin TLS, la contraseña en modo básico o digest es susceptible de interceptar y reproducir las credenciales de Intel® AMT y Intel® Standard Manageability en el firmware.
- Para los usuarios que han recibido un sistema que no se configuró mediante Intel® EMA, Intel recomienda seguir los pasos específicos necesarios para verificar que TLS esté habilitado (disponible aquí). Esto asegurará que Intel® AMT y Intel® Standard Manageability se configuren correctamente después de que se entregue el dispositivo.
- Intel® AMT y Intel® Standard Manageability configuración de compatibilidad se diseñó para permitir la seguridad TLS sin tener que desconfigurarse y reconfigurarse. Tenga en cuenta que las herramientas de software que los clientes utilizan para configurar y utilizar Intel® AMT y Intel® Standard Manageability también deben ser compatibles con TLS.
- Intel® Endpoint Management Assistant (Intel® EMA) configura los dispositivos para utilizar TLS.
Información adicional para CVE-2022-30944
Intel® AMT y Intel® Standard Manageability admite autenticación HTTP básica y HTTP digest. Cuando se usa sin TLS, las cargas sin procesar de las transacciones a través del puerto 16992 se exponen en la memoria del sistema operativo como texto sin formato, exponiendo así las credenciales de Intel® AMT y Intel® Standard Manageability.
- Intel® AMT o Intel® Standard Manageability es susceptible de recuperación de información a través de un usuario privilegiado que puede acceder directamente a la Intel® AMT sin cifrar o Intel® Standard Manageability contraseña en la memoria del sistema operativo.
- Para mitigar este problema, se recomienda Intel® AMT y Intel® Standard Manageability v14 o superior y el software de administración remota como Intel® EMA al activar Intel® AMT y Intel® Standard Manageability, ya que utilizan el cifrado TLS para la activación y se comunican con Intel® AMT y Intel® Standard Manageability a través de la pila de software basada en el sistema operativo.
- Intel® AMT y Intel® Standard Manageability versiones de firmware 11.8.x a 12.x no admiten TLS para la activación dentro de banda.
- Si agrega usuarios o cambia las credenciales de usuario de Intel® AMT o Intel® Standard Manageability, use solo una consola remota a través de Intel® AMT o Intel® Standard Manageability con TLS.
CVE-2022-28697 Descripción general
CVE-2022-28697 puede quedar expuesto cuando la contraseña del BIOS no está establecida para proteger la configuración de Intel® AMT en Intel® Management Engine BIOS Extension (Intel® MEBx). Las mejores prácticas de seguridad de contraseñas de BIOS se analizan en el siguiente documento:
Recomendaciones para CVE-2022-28697
Intel recomienda que los usuarios sigan las mejores prácticas de seguridad existentes y controles de seguridad alternativos, entre ellos: Habilite la protección con contraseña del BIOS en la Intel® Management Engine BIOS Extension (Intel® MEBX). Establezca una contraseña no predeterminada para Intel® AMT o Intel® Standard Manageability inmediatamente después de recibir el sistema por parte del fabricante del sistema.
Información adicional para CVE-2022-28697
Un usuario no autenticado con acceso físico a la plataforma podría aprovisionar AMT sin el conocimiento del usuario final.
Tenga en cuenta que los pasos que se indican a continuación son de referencia y pueden variar según el fabricante del sistema.
- Un usuario puede verificar si se ha configurado Intel® AMT o Intel® Standard Manageability accediendo a MEBX durante el arranque.
- Si se utilizó MEBX para configurar Intel® AMT o Intel® Standard Manageability, el nombre de usuario y la contraseña predeterminados tendrían que cambiarse a otro valor.
- Si un usuario no puede acceder al menú debido a una contraseña desconocida, Intel® AMT o Intel® Standard Manageability deberán restablecerse a los valores de fábrica para restaurar el nombre de usuario y la contraseña predeterminados para garantizar que Intel® AMT o Intel® Standard Manageability no estén configurados. Póngase en contacto con el fabricante de los sistemas para saber cómo realizar dicho restablecimiento.
- Si un usuario cambia la contraseña e inicia sesión, puede ir al menú de configuración Intel® AMT o Intel® Standard Manageability y comprobar si la opción "Activar acceso a la red" está disponible.
- Si la opción de menú está presente, eso indica que Intel® AMT o Intel® Standard Manageability no están configurados.
- Si la opción de menú no está presente, entonces se han configurado Intel® AMT o Intel® Standard Manageability en ese dispositivo.
- Intel® AMT o Intel® Standard Manageability pueden desconfigurarse desde este mismo menú. Esto asegurará que Intel® AMT o Intel® Standard Manageability se configuren correctamente después de que se entregue el dispositivo.