Дефект в чипсетах Intel может открыть двери для армий ботнетов

Уязвимость Intel AMT (технология активных технологий) является первой в своем роде, по словам Embedi, которая опубликовала технические детали об этом на прошлой неделе. По мнению фирмы, злоумышленники могут воспользоваться недостатком, чтобы получить полный контроль над бизнес-компьютерами, даже если они были отключены, но были подключены к розетке. АМТ Intel, установленная на многих наборах vРrо-чипов, предназначена для удаленного доступа к компьютерам, использующим микросхемы. «Аппаратные интегрированные решения для управления и обеспечения безопасности, такие как AMT, обеспечивают мощные возможности, которые могут принести много пользы, например, повысить эффективность управления питанием и обеспечить установку обновлений, - сказал Джон Морелло, технический директор Twistlock.

В Ботнете Скоро

Хотя уязвимость существует уже много лет, Intel не знает о какой-либо эксплуатации этого недостатка, сказал представитель компании Уильям Мосс. Согласно данным Data Breach Today, целых 8500 устройств - 3 000 из них в Соединенных Штатах - подвержены уязвимости и сталкиваются с Интернетом. Могут быть еще многие уязвимые устройства, к которым можно получить доступ и использовать хакеры, даже если они не подключены к Интернету. «Мы внедрили и утвердили обновление прошивки для решения этой проблемы, и мы сотрудничаем с производителями оборудования, чтобы сделать его доступным для конечных пользователей как можно скорее», - сказал Мосс. «Потребительские ПК с прошивкой и серверами центров обработки данных, использующие службы серверной платформы Intel (SPS), не подвержены этой уязвимости».
Необходимость обновления прошивки для устранения уязвимости - вот что делает этот недостаток опасным, поддерживал Morello Твистлока. «Многие организации счастливо работают с оборудованием, которое больше не обслуживается ОЕM-производителем, особенно когда речь идет о недорогих ПК малого бизнеса и серверах с короткими сроками поддержки», - сказал он. «Реальность такова, что многие из этих систем никогда не будут исправлены и навсегда останутся уязвимыми, - продолжил Морелло, - то есть очень вероятно, что вы скоро увидите их в ботнете рядом с вами».

Патчи для прошивки

Уязвимости прошивки могут быть более трудными, чем другие недостатки, отметил Мори Хабер, вице-президент по технологиям BeyondTrust. «Установка прошивки на серверах всегда является проблемой для средств удаленного управления, поскольку многие операционные системы не поддерживают поставляемые поставщиками утилиты для их запуска», - сказал Хабер в интервью. Эта проблема касается всех производителей оригинального оборудования, которые используют это решение, сказал он, в том числе Dell, HP, Fujitsu и Lenovo, и им придется тестировать и поставлять исправления. «Исправление этой ошибки на каждом сервере и каждом гипервизоре займет время и вызовет потенциальные отключения, - добавил Хабер. «Предприятия должны планировать масштабное обновление, чтобы оставаться в безопасности и оставаться совместимыми». До тех пор, пока патч не будет установлен, тем, кто может подвергнуться риску, следует отключить AMT, он рекомендовал, особенно на машинах Windows, поскольку они, вероятно, будут первыми атакованы. Они также должны фильтровать порты AMT и разрешать обмен данными с ними только из надежных источников. Кроме того, им следует позаботиться о том, чтобы не доставлять сообщения AMT в Интернет.

Уроки выучены

Что можно извлечь из недостатка AMT? «Никакое программное обеспечение, даже прошивки, не безопасно, и даже инструменты, которые существовали в течение многих лет, не могут обнаруживать критические уязвимости, которые могут привести к инциденту или, что еще хуже, к нарушению», - сказал Хабер. Intel, вероятно, узнала кое-что о своих качествах и процедурах обеспечения безопасности от этого инцидента, заметил Бобби Кузма, системный инженер с Core Security.