Связаться по:
vkarabedyants Telegram Viber
+7 (499) 350-10-69

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Как проверить, включен ли AMT

Должен ли я активировать или отключить технологию Intel Active Management Technology (AMT) и Intel Standard Manageability (ISM) в Linux с помощью командной строки для уязвимости CVE-2017-5689?

Уязвимость CVE-2017-5689 определяется как:

 

Непривилегированный сетевой злоумышленник может получить системные привилегии для оснащенных Intel управляющих SKU: Intel Active Management Technology (AMT) и Intel Standard Manageability (ISM). Непривилегированный локальный злоумышленник может обеспечить функции управления, получающие непривилегированные сетевые или локальные системные привилегии в управляемых продуктах Intel: управляемая технология Intel (AMT), технология Intel Standard Manageability (ISM) и технология Intel Small Business (SBT).

Вы можете узнать, включен ли AMT и подготовлен ли он под Linux, используя следующие методы.

Метод № 1: средство проверки mei-amt-check

Используйте инструмент mei-amt-check. Это простой инструмент, который сообщает вам, включен ли AMT и представлен ли он в системах Linux. Требуется загрузить драйвер mei_me.

Установка

Клонирование репо командой git:

$ git clone https://github.com/mjg59/mei-amt-check.git

Чтобы собрать его, выполните:

$ cd mei-amt-check 
$ make 
$ ls
LICENSE  Makefile  mei-amt-check  mei-amt-check.c  README.md

Использование
Просто введите следующую команду:

$ sudo ./mei-amt-check

Пример результата:

Вышеуказанный результат показывает, что AMT включен, и он не уязвим для CVE-2017-5689.

ЕСЛИ ЗАПУСТИТЬ В СИСТЕМЕ LINUX БЕЗ AMT, ВЫВОД БУДЕТ ВЫГЛЯДЕТЬ ТАК:

Intel AMT: DISABLED

ЕСЛИ AMT ВКЛЮЧЕН И ПОДГОТОВЛЕН, ВЫВОД БУДЕТ ВЫГЛЯДЕТЬ ТАК:

Если AMT включен и подготовлен, а версия AMT находится между 6.0 и 11.2, и вы не обновили прошивку, вы уязвимы для CVE-2017-5689. Отключите AMT в своей системной прошивке.

Метод № 2: Используйте nmap

Скачайте скрипт, используя команду wget или curl:

$ wget https://svn.nmap.org/nmap/scripts/http-vuln-cve2017-5689.nse

Для проверки 192.168.2.5 выполните команду nmap следующим образом:

$ nmap -p 16992 --script http-vuln-cve2017-5689 192.168.2.5

Пример результата:

tarting Nmap 7.40 ( https://nmap.org ) at 2017-05-14 22:39 IST
Nmap scan report for dellm6700 (192.168.2.15)
Host is up (0.00041s latency).
PORT      STATE    SERVICE
16992/tcp filtered amt-soap-http

Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

Убедитесь, что вы обновили BIOS, чтобы исправить проблему.

Настройка безопасности Linux серверов, [email protected]

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.