Informasi Dukungan untuk Penasihat Intel® Active Management Technology dan Intel® Standard Manageability INTEL-SA-00709
Intel® Active Management Technology INTEL-SA-00709 (Intel® AMT) dan Penasihat Intel® Standard Manageability
Konten Terkait
Artikel ini ditujukan untuk praktisi TI. Masing-masing pengguna harus mendapatkan panduan khusus dari produsen sistem mereka.
Ikhtisar CVE-2022-30601 dan CVE-2022-30944
CVE-2022-30601 dan CVE-2022-30944 mungkin terungkap ketika pilihan penerapan Intel® Standard Manageability dan Intel® AMT dibuat untuk menggunakan non-TLS (Transport Layer Security). Praktik terbaik keamanan penyebaran yang terkait dengan dua CVE ini dibahas dalam dokumen di bawah ini.
Rekomendasi untuk CVE-2022-30601 dan CVE-2022-30944
Intel menyarankan pengguna untuk mengikuti praktik terbaik keamanan yang ada dan kontrol keamanan alternatif, termasuk: Mengaktifkan dan menggunakan Transport Layer Security (TLS) untuk Intel® AMT dan Intel® Standard Manageability. Intel juga menyarankan semua pelanggan Intel® AMT dan Intel® Standard Manageability untuk bermigrasi ke port TLS. Implementasi Intel® AMT dan Intel® Standard Manageability di masa mendatang tidak akan lagi memiliki non-TLS sebagai opsi. Untuk memfasilitasi transisi ini bagi pelanggan yang mungkin saat ini menggunakan port non-TLS, Intel akan mempertahankan dukungan untuk port TCP/IP non-TLS (serta TLS) di Intel® AMT dan Intel® Standard Manageability melalui platform berbasis prosesor Intel® Core™ Generasi ke-12. Hanya port TLS yang akan didukung pada Intel® AMT dan Intel® Standard Manageability pada platform setelah generasi prosesor Intel® Core™ Generasi ke-12.
Detail Tambahan untuk CVE-2022-30601
Intel® AMT dan Intel® Standard Manageability mendukung autentikasi HTTP dasar dan HTTP digest. Saat digunakan tanpa TLS, kata sandi dalam mode dasar atau intisari rentan terhadap pencegatan dan pemutaran ulang kredensial Intel® AMT dan Intel® Standard Manageability ke firmware.
- Untuk pengguna yang telah menerima sistem yang tidak dikonfigurasi menggunakan Intel® EMA, Intel menyarankan untuk mengikuti langkah-langkah spesifik yang diperlukan untuk memverifikasi bahwa TLS diaktifkan (tersedia di sini). Ini akan memastikan bahwa Intel® AMT dan Intel® Standard Manageability dikonfigurasi dengan benar setelah perangkat dikirim.
- Konfigurasi dukungan Intel® AMT dan Intel® Standard Manageability dirancang untuk memungkinkan keamanan TLS tanpa harus dibatalkan konfigurasinya dan dikonfigurasi ulang. Perhatikan bahwa alat perangkat lunak yang digunakan pelanggan untuk mengonfigurasi dan menggunakan Intel® AMT dan Intel® Standard Manageability juga harus mendukung TLS.
- Intel® Endpoint Management Assistant (Intel® EMA) mengonfigurasi perangkat untuk menggunakan TLS.
Detail Tambahan untuk CVE-2022-30944
Intel® AMT dan Intel® Standard Manageability mendukung autentikasi HTTP dasar dan HTTP digest. Ketika digunakan tanpa TLS, muatan mentah transaksi melalui port 16992 diekspos dalam memori sistem operasi sebagai teks biasa, sehingga mengekspos kredensial Intel® AMT dan Intel® Standard Manageability.
- Intel® AMT atau Intel® Standard Manageability rentan terhadap pengambilan informasi melalui pengguna istimewa yang dapat langsung mengakses Intel® AMT atau kata sandi Intel® Standard Manageability yang tidak terenkripsi di memori sistem operasi.
- Untuk mengurangi masalah ini, Intel® AMT dan Intel® Standard Manageability v14 atau perangkat lunak manajemen jarak jauh yang lebih tinggi seperti Intel® EMA disarankan saat mengaktifkan Intel® AMT dan Intel® Standard Manageability karena mereka menggunakan enkripsi TLS untuk aktivasi dan berkomunikasi dengan Intel® AMT dan Intel® Standard Manageability melalui tumpukan perangkat lunak berbasis sistem operasi.
- Firmware Intel® AMT dan Intel® Standard Manageability versi 11.8.x hingga 12.x tidak mendukung TLS untuk aktivasi in-band.
- Jika menambahkan pengguna atau mengubah kredensial pengguna Intel® AMT atau Intel® Standard Manageability, hanya gunakan konsol jarak jauh melalui Intel® AMT atau Intel® Standard Manageability dengan TLS.
Ikhtisar CVE-2022-28697
CVE-2022-28697 mungkin terekspos ketika kata sandi BIOS tidak diatur untuk melindungi konfigurasi Intel® AMT di Intel® Management Engine BIOS Extension (Intel® MEBx). Praktik terbaik keamanan kata sandi BIOS dibahas dalam dokumen di bawah ini:
Rekomendasi untuk CVE-2022-28697
Intel menyarankan pengguna untuk mengikuti praktik terbaik keamanan yang ada dan kontrol keamanan alternatif, termasuk: Aktifkan perlindungan kata sandi BIOS pada Intel® Management Engine BIOS Extension (Intel® MEBX). Tetapkan kata sandi non-default untuk Intel® AMT atau Intel® Standard Manageability segera setelah diterimanya sistem dari produsen sistem.
Detail Tambahan untuk CVE-2022-28697
Pengguna yang tidak diautentikasi dengan akses fisik ke platform mungkin dapat menyediakan AMT tanpa sepengetahuan pengguna akhir.
Perhatikan bahwa langkah-langkah di bawah ini adalah untuk referensi dan dapat bervariasi menurut produsen sistem.
- Pengguna dapat memverifikasi apakah Intel® AMT atau Intel® Standard Manageability telah dikonfigurasi dengan mengakses MEBX selama boot.
- Jika MEBX digunakan untuk mengonfigurasi Intel® AMT atau Intel® Standard Manageability, nama pengguna dan kata sandi default harus diubah ke nilai lain.
- Jika pengguna tidak dapat mengakses menu karena kata sandi yang tidak diketahui, Intel® AMT atau Intel® Standard Manageability perlu direset ke setelan pabrik untuk memulihkan nama pengguna dan kata sandi default untuk memastikan Intel® AMT atau Intel® Standard Manageability tidak dikonfigurasi. Hubungi produsen sistem tentang cara melakukan reset tersebut.
- Jika pengguna mengubah kata sandi dan masuk, mereka dapat pergi ke menu konfigurasi Intel® AMT atau Intel® Standard Manageability dan memeriksa untuk melihat apakah opsi "Aktifkan Akses Jaringan" tersedia.
- Jika opsi menu ada, itu menunjukkan bahwa Intel® AMT atau Intel® Standard Manageability tidak dikonfigurasi.
- Jika opsi menu tidak ada, maka Intel® AMT atau Intel® Standard Manageability telah dikonfigurasi pada perangkat tersebut.
- Intel® AMT atau Intel® Standard Manageability dapat dibatalkan konfigurasinya dari menu yang sama. Ini akan memastikan bahwa Intel® AMT atau Intel® Standard Manageability dikonfigurasi dengan benar setelah perangkat dikirim.