کامپیوترهایی که دارای چیپست‌های سرور اینتل هستند و در طی ۹ سال گذشته به بازار عرضه شدند، می‌توانند از راه دور مورد حمله قرار گیرند.

یک آسیب‌پذیری اجرای کد از راه دور^(۱) در ویژگی‌های مدیریتیِ از راه دور بر روی کامپیوترهایی که دارای پردازنده اینتل بوده و نزدیک به یک دهه در حال فروش بودند، پیدا شده است که می‌تواند به مهاجمان اجازه دهد تا کنترل کامپیوترها را از راه دور به دست گیرند.

این عیب RCE که CVE-2017-5689 نام‌گذاری شده است، بر طبق گزارش منتشرشده[۱] توسط اینتل در روز دوشنبه ۱ می ۲۰۱۷، در فناوری‌های موتور مدیریتی^(۲) اینتل مانند فناوری مدیریتی فعال^(۳)، فناوری کسب‌وکار کوچک^(۴) و قابلیت مدیریت استاندارد اینتل^(۵) قرار دارد.

این ویژگی‌ها به مدیران یک سیستم اجازه می‌دهند تا از راه دور تعداد زیادی از کامپیوترهای داخل یک شبکه در یک سازمان یا شرکت را از طریق پورت‌های ۱۶۹۹۲ و ۱۶۹۹۳ اداره کنند.

ازآنجاکه این ویژگی‌ها فقط برای راه‌حل‌های سازمانی ارائه‌شده و بیشتر بر روی چیپ‌ست‌های سرور قرار دارند، این آسیب‌پذیری بر روی چیپ‌های بر پایه اینتل که در کامپیوترهای شخصی قرار دارند اثری ندارد.

بر طبق گزارش منتشرشده توسط اینتل، این آسیب‌پذیری حیاتی امنیتی در ماه مارس ۲۰۱۷ و توسط Maksim Malyutin از شرکت Embedi کشف و گزارش ‌شده بود و به دو طریق می‌تواند مورد بهره‌برداری قرار گیرد:

1. یک مهاجم شبکه غیرمجاز می‌تواند برای مشروط کردن SKUهای دارای قابلیت اداره اینتل (Intel AMT و ISM)، به دسترسی سیستمی دست پیدا کند. اگرچه Intel SBT به این مشکل آسیب‌پذیر نیست.
2. یک حمله‌کننده محلی غیرمجاز می‌تواند ویژگی‌های قابلیت اداره کردن را مشروط کند و از این طریق دسترسی‌های شبکه غیرمجاز یا دسترسی‌های سیستمی محلی بر روی SKUهای دارای قابلیت اداره کردن اینتل (شامل Intel AMT،ISM و SBT) به دست آورد.

این آسیب‌پذیری چقدر خطرناک است؟

به‌طور خلاصه، یک مهاجم بالقوه می‌تواند وارد سخت‌افزار یک ماشین آسیب‌پذیر شود و به‌صورت مخفیانه فعالیت‌های مخرب خود را مانند دست‌کاری ماشین و یا نصب کردن یک بدافزار غیرقابل تشخیص با استفاده از ویژگی‌های AMT انجام دهد.

نکته قابل‌توجه این است که سیستم‌عاملِ قرار داشته بر روی کامپیوترها هیچ‌وقت متوجه تغییرات در حال انجام نمی‌شود؛ چراکه ویژگی AMT دسترسی مستقیم به سخت‌افزار شبکه کامپیوتر دارد. هنگامی‌که AMT فعال باشد، هر پاکتی که به پورت شبکه دارای سیم کامپیوتر ارسال می‌شود به موتور مدیریتی هدایت‌شده و از AMT می‌گذرد و این در حالی است که سیستم‌عامل هرگز آن پاکت‌ها را مشاهده نمی‌کند.

این ویژگی‌های مدیریتیِ غیر ایمن نزدیک به یک دهه است که بر روی انواع مختلفی از چیپست‌های اینتل قرار دارند که اولین آن‌ها به سال ۲۰۰۸ و پردازنده Nehalem Core i7 برمی‌گردد و تا پردازنده‌های تولیدشده در امسال مانند Kaby Lake Core ادامه داشته است. این آسیب‌پذیری برای کاربرانی که از سیستم‌های دارای پردازنده vPro اینتل[۲] استفاده می‌کنند، از درجه خطر بیشتری برخوردار است.

خوشبختانه هیچ‌کدام از این ویژگی‌های موتور مدیریتی به‌صورت پیش‌فرض فعال نیستند و مدیران سیستم باید در ابتدا سرویس‌های موردنظر را بر روی شبکه محلی خود فعال کنند. بنابراین، اساساً اگر شما از یک کامپیوتر استفاده می‌کنید که ویژگی‌های موتور مدیریتی در آن فعال است، در معرض خطر قرار دارید.

علی‌رغم استفاده از چیپ‌های اینتل، کامپیوترهای جدید Apple Mac همراه با نرم‌افزار AMT عرضه نشده‌اند و بنابراین تحت تأثیر این آسیب‌پذیری قرار ندارند.

نسخه‌های Firmware آسیب‌پذیر و نحوه وصله کردن آن‌ها

این مشکل امنیتی بر روی نسخه‌های firmware ای که دارای قابلیت اداره اینتل هستند شامل نسخه‌های ۶، ۷، ۸، ۹، ۱۰، ۱۱٫۵ و ۱۱٫۶ و بر روی پلتفرم‌های AMT، ISM و SBT اثرگذار است. اگرچه، نسخه‌‎های قبل از ۶ یا بعد از ۱۱٫۶ آسیب‌پذیر نیستند.

شرکت اینتل این آسیب‌پذیری را به‌عنوان به‌شدت حیاتی دسته‌بندی کرده است و firmwareهای جدید را به‌منظور به‌روزرسانی منتشر کرده است. همچنین این شرکت دستورالعمل‌های تشخیص[۳] اینکه چه دستگاه‌هایی در حال استفاده از AMT، ISM یا SBT هستند، یک راهنمایی تشخیص[۴] برای بررسی اینکه سیستم شما آسیب‌پذیر هست یا نه و یک راهنمای کاهش سطح خطر[۵] برای سازمان‌هایی که نمی‌توانند به‌سرعت به‌روزرسانی‌های موردنظر را انجام دهند نیز ارائه کرده است.

شرکت اینتل به مشتریان آسیب‌پذیر خود اکیداً توصیه کرده است که به‌روزرسانی‌های موردنظر را هر چه سریع‌تر بر روی سیستم‌های خود اعمال کنند.

Matthew Garrett که مهندس امنیتی CoreOS است در یک گزارش[۶] این‌گونه توضیح داده است: “برطرف کردن این مشکل نیازمند یک به‌روزرسانی در firmware سیستم است به‌منظور اینکه یک موتور مدیریتی جدید بر روی سیستم قرار گیرد که دارای یک به‌روزرسانی کد جدید AMT باشد. بسیاری از دستگاه‌های آسیب‌پذیر دیگر به‌روزرسانی‌های مربوط به firmware را از سازندگان خود دریافت نمی‌کنند و بنابراین احتمالاً هیچ‌گاه این مشکل بر روی آن‌ها برطرف نمی‌شود. هرکسی که ویژگی AMT را بر روی این دستگاه‌ها فعال کرده باشد در معرض خطر قرار دارد. همچنین این واقعیت وجود دارد که به‌روزرسانی‌های مربوط به firmware به‌ندرت به‌عنوان یک به‌روزرسانی امنیتی و حیاتی ارائه می‌شوند و معمولاً همراه با به‌روزرسانی‌های ویندوز منتشر نمی‌شوند؛ بنابراین حتی اگر این به‌روزرسانی‌ها در دسترس هم قرار گیرند، احتمالاً کاربران در مورد آن‌ها آگاهی پیدا نکرده و آن‌ها را نصب نمی‌کنند.

جزئیات بیشتر در ارتباط با این آسیب‌پذیری در گزارش منتشرشده توسط اینتل [۱] قرار دارد.

 منابع

[۱] https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

[۲]http://www.intel.com/content/www/us/en/architecture-and-technology/vpro/vpro-technology-general.html

[۳] https://communities.intel.com/docs/DOC-5693

[۴] https://downloadcenter.intel.com/download/26755

[۵] https://downloadcenter.intel.com/download/26754

[۶] https://mjg59.dreamwidth.org/48429.html

[۷] http://thehackernews.com/2017/05/intel-server-chipsets.html

(۱) remote code execution (RCE)
(۲) Management Engine (ME)
(۳) Active Management Technology (AMT)
(۴) Small Business Technology (SBT)
(۵) Intel Standard Manageability (ISM)