INTEL-SA-00709 インテル® アクティブ・マネジメント・テクノロジーおよびインテル® Standard Manageabilityに関するアドバイザリーに関するサポート情報
INTEL-SA-00709 インテル® アクティブ・マネジメント・テクノロジー (インテル® AMT) およびインテル® Standard Manageabilityに関するアドバイザリー
関連コンテンツ
この記事は IT 担当者を対象としています。個々のユーザーは、システムの製造元から特定のガイダンスを受ける必要があります。
CVE-2022-30601およびCVE-2022-30944の概要
CVE-2022-30601およびCVE-2022-30944は、非TLS(トランスポート層セキュリティ)を使用するようにインテル® AMTインテル® Standard Manageability展開を選択した場合に公開される可能性があります。これら 2 つの CVE に関連する展開セキュリティのベスト プラクティスについては、以下のドキュメントで説明します。
CVE-2022-30601 および CVE-2022-30944 に関する推奨事項
インテルは、既存のセキュリティーのベスト・プラクティスと代替のセキュリティー制御に従うことをお勧めします。 インテル® AMTとインテル® Standard Manageabilityにはトランスポート層セキュリティー (TLS) を有効にして使用します。またインテルは、インテル® AMTおよび インテル® Standard Manageability をご利用のお客様には、TLS ポートへの移行を推奨しています。今後の インテル® AMT および インテル® Standard Manageability の実装では、オプションとして非 TLS は使用できなくなります。現在非 TLS ポートを使用しているお客様向けにこの移行を容易にするため、インテルは第 12 世代インテル® Core™・プロセッサー・ベースのプラットフォームを通じてインテル® AMTおよびインテル® Standard Manageabilityで非 TLS TCP/IP ポート (および TLS) のサポートを維持します。TLS ポートのみが、第 12 世代インテル® Core™プロセッサー世代以降のプラットフォームでインテル® AMTおよびインテル® Standard Manageabilityでサポートされます。
CVE-2022-30601の追加の詳細
インテル® AMT および インテル® Standard Manageability では、HTTP 基本認証と HTTP ダイジェスト認証がサポートされています。TLS を使用せずに使用すると、基本モードまたはダイジェスト・モードのパスワードは、ファームウェアへのインテル® AMTおよびインテル® Standard Manageability資格情報の傍受と再生の影響を受けやすくなります。
- インテル® EMAを使用して構成されていないシステムを受け取ったユーザーに対して、TLS が有効になっていることを確認するために必要な特定の手順に従うことをお勧めします ( こちらから入手できます)。これにより、デバイスの配送後に インテル® AMT と インテル® Standard Manageability が正しく構成されます。
- インテル® AMT および インテル® Standard Manageability サポート構成は、構成解除および再構成することなく TLS セキュリティーを有効にするように設計されています。お客様が インテル® AMT と インテル® Standard Manageability を構成して使用するために使用するソフトウェア ツールも TLS をサポートしている必要があることに注意してください。
- インテル® エンドポイント・マネジメント・アシスタント (インテル® EMA) は、TLS を使用するようにデバイスを構成します。
CVE-2022-30944の追加の詳細
インテル® AMT および インテル® Standard Manageability では、HTTP 基本認証と HTTP ダイジェスト認証がサポートされています。TLS を使用せずに使用すると、ポート 16992 を超えるトランザクションの生のペイロードがオペレーティング システムのメモリにプレーン テキストとして公開されるため、インテル® AMT とインテル® Standard Manageabilityの資格情報が公開されます。
- インテル® AMT または インテル® Standard Manageability は、オペレーティング・システム・メモリー内の暗号化されていないインテル® AMTまたはインテル® Standard Manageabilityパスワードに直接アクセスできる特権ユーザーを介して、情報取得の影響を受けやすいです。
- この問題を軽減するには、インテル® AMT および インテル® Standard Manageability をアクティブ化するときに、インテル® AMT および インテル® Standard Manageability v14 以降、および インテル® EMA などのリモート管理ソフトウェアをお勧めします。 は、アクティブ化に TLS 暗号化を使用し、オペレーティング システム ベースのソフトウェア スタックを介してインテル® AMTと通信してインテル® Standard Manageabilityします。
- インテル® AMT および インテル® Standard Manageability ファームウェアのバージョン 11.8.x から 12.x は、インバンド・アクティベーションの TLS をサポートしていません。
- ユーザーを追加したり、インテル® AMT または インテル® Standard Manageability のユーザー資格情報を変更したりする場合は、TLS を使用したインテル® AMTまたはインテル® Standard Manageabilityでのみリモート コンソールを使用してください。
CVE-2022-28697 概要
CVE-2022-28697 は、インテル® Management Engine BIOS Extension (インテル® MEBx) のインテル® AMT構成を保護するために BIOS パスワードが設定されていない場合に公開される可能性があります。BIOS パスワード・セキュリティーのベスト・プラクティスについては、以下のドキュメントで説明します。
CVE-2022-28697に関する推奨事項
インテルは、以下のような既存のセキュリティーのベスト・プラクティスおよび代替のセキュリティー制御に従うことをお勧めします。 インテル® Management Engine BIOS Extension (インテル® MEBX で BIOS パスワード保護を有効にします。システムの製造元からシステムを受け取った直後にインテル® AMTまたはインテル® Standard Manageabilityにデフォルト以外のパスワードを設定します。
CVE-2022-28697の追加の詳細
プラットフォームに物理的にアクセスできる認証されていないユーザーは、エンドユーザーの知らないうちに AMT をプロビジョニングできる場合があります。
以下の手順は参考用であり、システムの製造元によって異なる場合があります。
- ユーザーは、ブート時に MEBX にアクセスして、インテル® AMT または インテル® Standard Manageability が設定されているかどうかを確認できます。
- MEBX を使用して インテル® AMT または インテル® Standard Manageability を設定した場合は、デフォルトのユーザ名とパスワードを別の値に変更する必要があります。
- 不明なパスワードが原因でユーザーがメニューにアクセスできない場合は、インテル® AMTまたはインテル® Standard Manageabilityを工場出荷時の状態にリセットしてデフォルトのユーザー名とパスワードに復元し、インテル® AMTまたはインテル® Standard Manageabilityが設定されていないことを確認する必要があります。リセットの実行方法については、システム製造元にお問い合わせください。
- ユーザーがパスワードを変更してログインすると、インテル® AMTまたはインテル® Standard Manageability構成メニューに移動して、[ネットワークアクセスのアクティブ化]オプションが利用可能かどうかを確認できます。
- メニューオプションが存在する場合は、インテル® AMTまたはインテル® Standard Manageabilityが設定されていないことを示します。
- メニューオプションが存在しない場合は、そのデバイスでインテル® AMTまたはインテル® Standard Manageabilityが設定されています。
- インテル® AMTまたはインテル® Standard Manageabilityは、この同じメニューから構成を解除できます。これにより、デバイスの配送後にインテル® AMTまたはインテル® Standard Manageabilityが正しく構成されます。