INTEL-SA-00709 的支持信息和英特尔® 主动管理技术和英特尔® Standard Manageability咨询
内容类型: 产品信息和文件 | 文章 ID: 000091553 | 上次审核日期: 2023 年 11 月 14 日
本文面向 IT 从业人员。个人用户应从其系统制造商获得具体指导。
当英特尔® AMT和英特尔® Standard Manageability部署选择使用非 TLS(传输层安全性)时,可能会暴露 CVE-2022-30601 和 CVE-2022-30944。 以下文档中讨论了与这两个 CVE 相关的部署安全最佳实践。
针对 CVE-2022-30601 和 CVE-2022-30944 的建议
英特尔建议用户遵循现有的安全最佳实践和替代安全控制措施,包括: 启用和使用传输层安全性 (TLS)(英特尔® AMT和英特尔® Standard Manageability)。英特尔还建议所有英特尔® AMT和英特尔® Standard Manageability客户迁移到 TLS 端口。未来的英特尔® AMT和英特尔® Standard Manageability实现将不再具有非 TLS 选项。为方便当前使用非 TLS 端口的客户实现此过渡,英特尔将通过基于第 12 代英特尔® 酷睿™处理器的平台继续支持英特尔® AMT和英特尔® Standard Manageability中的非 TLS TCP/IP 端口(以及 TLS)。第 12 代英特尔® 酷睿™处理器之后的平台在英特尔® AMT和英特尔® Standard Manageability仅支持 TLS 端口。
CVE-2022-30601 的更多详细信息
英特尔® AMT 和 英特尔® Standard Manageability 支持 HTTP 基本和 HTTP 摘要式身份验证。在没有 TLS 的情况下使用时,基本或摘要模式下的密码容易受到拦截和重播固件英特尔® AMT和英特尔® Standard Manageability凭据的影响。
CVE-2022-30944 的其他详细信息
英特尔® AMT 和 英特尔® Standard Manageability 支持 HTTP 基本和 HTTP 摘要式身份验证。在没有 TLS 的情况下使用时,通过端口 16992 的事务的原始有效负载以纯文本形式在操作系统的内存中公开,从而公开英特尔® AMT和英特尔® Standard Manageability凭据。
如果未设置 BIOS 密码来保护 英特尔® Management Engine BIOS Extension 中的英特尔® AMT配置(英特尔® MEBx),CVE-2022-28697 可能会暴露。以下文档中讨论了 BIOS 密码安全最佳实践:
CVE-2022-28697 建议
英特尔建议用户遵循现有的安全最佳实践和替代性安全控制措施,包括: 在英特尔® Management Engine BIOS Extension上启用 BIOS 密码保护 (英特尔® MEBX)。从系统制造商处收到系统后立即英特尔® AMT或英特尔® Standard Manageability设置非默认密码。
CVE-2022-28697 的更多详细信息
具有平台物理访问权限的未经身份验证的用户或许能够在最终用户不知情的情况下设置 AMT。
请注意,以下步骤仅供参考,可能因系统制造商而异。