В понедельник, 1 мая 2017г., компанией Intel была опубликована информация о критической уязвимости (INTEL-SA-00075/ CVE-2017-5689) платформ Intel, имеющих функции Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT).
Чтотакое Intel AMT/ISM/SBT
Компоненты Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM) и Intel® Small Business Technology (SBT) являются частью технологии Intel vPro, предназначенной для удаленного управления компьютером без использования средств ОС. Технология основана на специализированном чипе Intel Management Engine, функционирующем независимо от ОС и обладающим собственной прошивкой, независимым доступом к сетевым интерфейсам и прямым доступом к оперативной памяти.
Компонент Intel® Active Management Technology (AMT) обеспечивает веб-интерфейс удаленного управления и доступ к таким функциям как:
удаленная консоль управления;
диагностика и мониторинг рабочей станции;
загрузка ОС с удаленного носителя.
Уязвимость позволяет злоумышленнику получить привилегированный доступ к веб-интерфейсу управления Active Management Technology (AMT).
Уязвимости актуальна для чипсетов Intel выпускаемыx с 2010 года, включая последние поколения Kaby Lake Core, с прошивками ME/AMT версий 6.х - 11.6
Команда экспертов «Информзащиты» проводит исследование данной уязвимости. Согласно информации Intel, возможные векторы атак могут выглядеть следующим образом:
Векторы атаки:
Удаленная эксплуатация. Злоумышленник может получить привилегированный удаленный доступ к веб-интерфейсу AMT/ISM.
Локальная эксплуатация. Злоумышленник, имея непривилегированный локальный доступ к системе, может повысить привилегии посредством развертывания и использования функций AMT/ISM/SBT.
Обновления безопасности
Компания Intel выпустила патч безопасности, закрывающий данную уязвимость. Но для установки данного патча необходимо, чтобы производитель оборудования (материнской платы, ноутбука, рабочей станции) интегрировал данный патч в новую версию прошивки. Для некоторых, уже неподдерживаемых систем, новые версии прошивок возможно не будут выпущены никогда.
Рекомендации
Компания «Информзащита» рекомендует следующий перечень первоочередных действий, направленных на нейтрализацию данной угрозы:
В качестве первичного экспресс-анализа, произвести сканирование сети на предмет наличия открытых портов TCP:16992-16995, 623, 664 на рабочих станциях, серверах и других узлах сети.
Дополнительно необходимо проверить актуальность уязвимости для всех рабочих станций, серверов и других узлов сети, используя инструмент «INTEL-SA-00075 Discovery Tool», либо другие методы в соответствии с документом «INTEL-SA-00075 Detection
Проверить доступность на сайте производителя вашего оборудования новой версии прошивки, исправляющую уязвимость (INTEL-SA-00075/ CVE-2017-5689). Установить в случае доступности.
Если новая версия прошивки недоступна, отключить функции AMT, ISM, SBM следуя руководству «INTEL-SA-00075
Если отключение данных функций невозможно – ограничить доступ к данным машинам на сетевом уровне и/или заблокировать удаленный доступ к портам TCP:16992-16995, 623, 664. Следует иметь в виду, что это снизит риск только удаленной эксплуатации уязвимости.
В настоящий момент сервис Shodan обнаруживает более 6,3 тыс. сетевых узлов с открытыми портами TCP:16992, TCP:16993. Из них в России таких узлов порядка 280.
Яндекс сообщил о приобретении 50% капитала компании SolidSoft — одного из ведущих российских разработчиков WAF-решений (web application firewall). Эта сделка направлена на усиление экспертизы подразделения Yandex B2B Tech, которое работает с корпоративными клиентами и развивает направления в области кибербезопасности.
Также SolidSoft и Yandex B2B Tech объявили о создании совместного предприятия, которое будет заниматься развитием технологий защиты веб-приложений. О сделке сообщило издание РБК со ссылкой на представителей компаний.
Как уточняется, Яндекс получит опцион на увеличение своей доли в будущем. Управлять совместной компанией будет представитель SolidSoft. При этом SolidSoft сохранит возможность самостоятельной разработки продуктов, а также продолжит выполнение обязательств перед текущими заказчиками.
SolidSoft входит в число лидеров российского WAF-рынка. По итогам 2024 года её выручка превысила 900 млн рублей. Среди заказчиков компании — в том числе и Яндекс.
Сумма сделки не разглашается. По оценке экспертов, опрошенных РБК, она может составлять от 3 до 4 млрд рублей.
«Компания — один из основных бенефициаров курса на импортозамещение и в последние годы развивается быстрее рынка. Приобретение доли в SolidSoft позволяет Yandex Cloud занять сильные позиции на перспективном рынке защиты веб-приложений. В случае дальнейшей технологической интеграции решения SolidSoft получат значительный потенциал масштабирования за счёт широкой клиентской базы и развитой партнёрской экосистемы Yandex Cloud», — прокомментировал результат сделки аналитик Apple Hills Digital Василий Пименов.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
