گرچه آسیب پذیری گزارش شده در پایین بسیار بحرانی است و چند هفته زمان می‌برد تا مدیران سیستم از شبکه‌های اینترنتی خود محافظت کنند، تحقیقات هنوز جزئیات آسیب پذیری را نشان نداده اند.

این مقاله بر اساس اطلاعاتی میباشد که Maksim Malyutin یکی از اعضای تیم تحقیقاتیِ Embedi گردآوری کرده است. او کسی است که در ماه مارس متوجه این آسیب پذیری شد.

یک آسیب پذیری جدی در قابلیت مدیریت از راه دور کامپیوترهای دارای پردازشگر اینتل که در ۷ سال گذشته (حدود یک دهه) تولید شده اند، پیدا شده است. این پردازشگرها به مهاجمان اجازه می‌دهند که از راه دور، کنترل کامپیوترها را به دست بگیرند و بر روی تمام سیستم‌های اینتل تاثیر بگذارند؛ سیستم‌هایی شامل کامپیوتر شخصی، لپتاپ ها و سرور هایی که AMT شان فعال است.

طبق گزارشات اولیه، این نقص فنی مهم(CVE-2017-5689) یک کد تخریبگر از راه دور نیست، بلکه Malyutin اطمینان می‌دهد که این یک آسیب پذیری منطقی است که فرصت اکسپلویت کردن این باگ را با تکنیک های دیگر در اختیار مهاجمان از راه دور می‌گذارد.

بر اساس توصیه ای که روز دوشنبه توسط اینتل منتشر شد، این باگ ترفیع سطح دسترسی در تکنولوژی های موتور مدیریت(ME) وجود دارد مثل تکنولوژی مدیریت فعال (AMT)، تکنولوژی کسب و کار کوچک (SBT) و قابلیت مدیریت استاندارد اینتل(ISM).

قابلیت کنترل از راه دور به مدیر اجازه میدهد که بخش بزرگی از انتقالات کامپیوترها را توسط شبکه (از طریق درگاه های ۱۶۹۹۲ یا ۱۶۹۹۳) در یک سازمان و یا موسسه بازرگانی، از راه دور کنترل کند.

از آنجایی که این قابلیت‌ها فقط در راهکارهای سازمانی و عمدتا در چیپست های سرور موجود است، اینتل ادعا کرده است که این آسیب پذیری بر روی چیپ‌های در حال کار در کامپیوتر های اینتل بنیان تاثیری نمی‌گذارد اما Malyutin می‌گوید: ” کامپیوترهایی که دارای پشتیبانی رسمیِ اینتل vPro هستند (و قابلیت AMT در آن ها فعال شده است) ممکن است در خطر باشند. همچنین احتمال دارد که حملات بر روی سیستم‌های اینتل فاقد پشتیبانی AMT انجام شده باشد.

 

این آسیب پذیری چقدر بد است؟

به طور خلاصه یک مهاجم بالقوه می‌تواند به سخت افزار یک دستگاه آسیب پذیر وارد شود و بی صدا فعالیت‌های بدخواهانه ای انجام دهد؛ از جمله دستکاری کردن دستگاه، نصب کردن بدافزارهای مجازی غیرقابل کشف و استفاده کردن از قابلیت های AMT.

سیستم عامل هرگز نمی‌فهمد چه چیزی در حال رخ دادن است زیرا AMT به شبکه‌ی سخت افزاری کامپیوتر، دسترسی مستقیم دارد. زمانی که AMT فعال است، هر بسته‌ی ارسال شده به درگاه شبکه‌ی کابلی به موتور مدیریت هدایت می‌شود و سپس به AMT پاس داده میشود و سیستم عامل هرگز متوجه این بسته ها نمی‌شود.

این قابلیت‌های مدیریتی ناامن در بسیاری( اما نه همه)  از چیپست‌های اینتل که در ۷ سال گذشته تولید شده اند، در دسترس است. این چیپست ها از سری vPro-capable 5 شروع می‌شوند.

پست کوتاه Embedi می‌گوید: ” سیستم های تحت تاثیر قرار گرفته متعلق به سال ۲۰۱۰-۲۰۱۱ می‌باشند( و نه طبق چیزی که دیگران میگویند سال ۲۰۰۸) زیرا ورژن ۶.۰ به بعد فیرمور پیش از سال ۲۰۱۰ ساخته نشده اند.

همچنین احتمال دارد حملات بدون پشتیبانی AMT اینتل بر روی سیستم های اینتل انجام شده باشد.”

خوشبختانه هیچ یک از قابلیت‌های موتور مدیریت به صورت پیش فرض فعال نمی‌باشد و مدیران سیستم باید ابتدا این سرویس‌ها را بر روی شبکه محلی شان فعال کنند. بنابر این اگر شما قابلیتME  را فعال کرده اید، در خطر می‌باشید.

با وجود اینکه اپل از چیپ های اینتل استفاده می‌کند، اما در کامپیوترهای مدرن مک نرم افزار AMT استفاده نمی‌شود و بنا براین اپل تحت تاثیر این نقص فنی نمی‌باشد.

 

فیرمور های تحت تاثیر قرار گرفته و پچ کردن آنها

این نقص امنیتی بر فیرمورهای مدیریت اینتل شامل ورژن های x. 6، ۷.x، ۸.x 9.x، ۱۰.x، ۱۱.۰، ۱۱.۵،۱۱.۶ و پلتفرم های Intel’s AMT، ISM، و SBT  تاثیر می‌گذارد. با این حال ورژن‌های قبل از ۶ یا بعد از ۱۱.۶ تحت تاثیر قرار نمی‌گیرند.

اینتل این آسیب را بسیار مهم و بحرانی ارزیابی کرده است و ورژن های جدید فیرمور، دستورالعمل‌های شناسایی، راهنمای چک کردن سیستم در صورت تحت تاثیر بودن و یک راهنمای سبک سازی برای سازمان‌هایی که قادر به نصب سریع آپدیت‌ها نیستند، عرضه کرده است.

سازنده‌ی چیپ به کاربران آسیب پذیر توصیه می‌کند که هرچه سریع تر پچ مربوط به فیرمور را نصب کنند.

Matthew Garrett، مهندس امنیت شرکت CoreOS در پست وبلاگش نوشته است: ” رفع این نقص مستلزم آپدیت سیستمی فیرمور برای ایجادME (موتور مدیریت) جدید (شامل یک کپی آپدیت شده از کد AMT) می‌باشد. بسیاری از دستگاه‌های تحت تاثیر، دیگر آپدیت‌های فیرمور را از سازندگان دریاف نمی‌کنند و احتمالا این مساله هرگز حل نخواهد شد. هرکسی که تا به حال AMT را بر روی دستگاه فعال کرده است آسیب پذیر خواهد بود.”

این یک حقیقت غیر قابل انکار است که آپدیت های فیرمور به ندرت به عنوان محافظت تلقی می‌شوند ( به طور کلی همراه با آپدیت های ویندوز عرضه نمی‌شوند) بنابر این حتی زمانی که آپدیت‌ها در دسترس هستند، کاربران درباره آنها نمی‌دانند یا احتمالا نصبشان نمی‌کنند.

 

منبع: http://thehackernews.com/2017/05/intel-server-chipsets.html

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *