INTEL-SA-00709 인텔® 액티브 관리 기술 및 인텔® Standard Manageability 자문 지원 정보
INTEL-SA-00709 인텔® 액티브 관리 기술(인텔® AMT) 및 인텔® Standard Manageability 자문
관련 내용
이 문서는 IT 실무자를 위해 작성되었습니다. 개별 사용자는 시스템 제조업체로부터 구체적인 지침을 받아야 합니다.
CVE-2022-30601 및 CVE-2022-30944 개요
CVE-2022-30601 및 CVE-2022-30944 는 비 TLS(전송 계층 보안)를 사용하도록 인텔® AMT 및 인텔® Standard Manageability 배포를 선택할 때 노출될 수 있습니다. 이러한 두 CVE와 관련된 배포 보안 모범 사례는 아래 문서에 설명되어 있습니다.
CVE-2022-30601 및 CVE-2022-30944에 대한 권장 사항
인텔은 사용자가 기존 보안 모범 사례와 다음을 포함한 대체 보안 제어를 따를 것을 권장합니다. 인텔® AMT 및 인텔® Standard Manageability 전송 계층 보안(TLS)을 활성화하고 사용합니다. 또한 인텔은 모든 인텔® AMT 및 인텔® Standard Manageability 고객에게 TLS 포트로 마이그레이션할 것을 권장합니다. 향후 인텔® AMT 및 인텔® Standard Manageability 구현에서는 더 이상 비 TLS를 옵션으로 사용할 수 없습니다. 현재 비 TLS 포트를 사용 중인 고객을 위해 이러한 전환을 용이하게 하기 위해 인텔은 12세대 인텔® 코어™ 프로세서 기반 플랫폼을 통해 인텔® AMT 및 인텔® Standard Manageability에서 비 TLS TCP/IP 포트(및 TLS)에 대한 지원을 유지할 것입니다. TLS 포트만 인텔® AMT에서 지원되며 12세대 인텔® 코어™ 프로세서 세대 이후 플랫폼에서는 인텔® Standard Manageability됩니다.
CVE-2022-30601에 대한 추가 세부 정보
인텔® AMT 및 인텔® Standard Manageability는 HTTP 기본 및 HTTP 다이제스트 인증을 지원합니다. TLS 없이 사용하는 경우 기본 또는 다이제스트 모드의 암호는 펌웨어에 대한 인텔® AMT 및 인텔® Standard Manageability 자격 증명을 가로채서 재생할 수 있습니다.
- 인텔® EMA를 사용하여 구성되지 않은 시스템을 받은 사용자의 경우, 인텔은 TLS가 활성화되었는지 확인하는 데 필요한 특정 단계를 따를 것을 권장합니다( 여기 에서 확인 가능). 이렇게 하면 장치가 배송된 후 인텔® AMT 및 인텔® Standard Manageability 올바르게 구성됩니다.
- 인텔® AMT 및 인텔® Standard Manageability 지원 구성은 구성 해제 및 재구성 없이 TLS 보안을 사용하도록 설계되었습니다. 고객이 인텔® AMT 구성하고 사용하는 데 사용하는 소프트웨어 도구 및 인텔® Standard Manageability도 TLS를 지원해야 합니다.
- 인텔® Endpoint Management Assistant(인텔® EMA)은 TLS를 사용하도록 디바이스를 구성합니다.
CVE-2022-30944에 대한 추가 세부 정보
인텔® AMT 및 인텔® Standard Manageability는 HTTP 기본 및 HTTP 다이제스트 인증을 지원합니다. TLS 없이 사용하면 포트 16992를 통한 트랜잭션의 원시 페이로드가 운영 체제의 메모리에 일반 텍스트로 노출되어 인텔® AMT 및 인텔® Standard Manageability 자격 증명이 노출됩니다.
- 인텔® AMT 또는 인텔® Standard Manageability 운영 체제 메모리의 암호화되지 않은 인텔® AMT 또는 인텔® Standard Manageability 암호에 직접 액세스할 수 있는 권한 있는 사용자를 통한 정보 검색에 취약합니다.
- 이 문제를 완화하려면 인텔® AMT 및 인텔® Standard Manageability v14 이상과 인텔® EMA와 같은 원격 관리 소프트웨어가 활성화에 TLS 암호화를 사용하고 운영 체제 기반 소프트웨어 스택을 통해 인텔® AMT 및 인텔® Standard Manageability와 통신하므로 인텔® AMT 및 인텔® Standard Manageability 활성화할 때 권장됩니다.
- 인텔® AMT 및 인텔® Standard Manageability 펌웨어 버전 11.8.x부터 12.x까지는 대역 내 활성화를 위한 TLS를 지원하지 않습니다.
- 사용자를 추가하거나 인텔® AMT 또는 인텔® Standard Manageability의 사용자 자격 증명을 변경하는 경우 TLS를 사용하여 인텔® AMT 또는 인텔® Standard Manageability을 통해 원격 콘솔만 사용합니다.
CVE-2022-28697 개요
CVE-2022-28697 은 인텔® Management Engine BIOS Extension(인텔® MEBx)의 인텔® AMT 구성을 보호하기 위해 BIOS 암호가 설정되지 않은 경우 노출될 수 있습니다. BIOS 암호 보안 모범 사례는 아래 문서에 설명되어 있습니다.
CVE-2022-28697에 대한 권장 사항
인텔은 사용자가 기존 보안 모범 사례와 다음을 포함한 대체 보안 제어를 따를 것을 권장합니다. 인텔® Management Engine BIOS Extension(인텔® MEBX)에서 BIOS 암호 보호를 활성화합니다. 시스템 제조업체로부터 시스템을 수령한 직후 인텔® AMT 또는 인텔® Standard Manageability에 대해 기본이 아닌 암호를 설정합니다.
CVE-2022-28697에 대한 추가 세부 정보
플랫폼에 물리적으로 액세스할 수 있는 인증되지 않은 사용자는 최종 사용자 모르게 AMT를 프로비전할 수 있습니다.
아래 단계는 참조용이며 시스템 제조업체에 따라 다를 수 있습니다.
- 사용자는 부팅 중에 MEBX에 액세스하여 인텔® AMT 또는 인텔® Standard Manageability가 구성되었는지 확인할 수 있습니다.
- MEBX를 사용하여 인텔® AMT 또는 인텔® Standard Manageability 구성한 경우 기본 사용자 이름과 암호를 다른 값으로 변경해야 합니다.
- 알 수 없는 암호로 인해 사용자가 메뉴에 액세스할 수 없는 경우 인텔® AMT 또는 인텔® Standard Manageability 공장 초기화하여 기본 사용자 이름과 암호를 복원하여 인텔® AMT 또는 인텔® Standard Manageability 구성되지 않도록 해야 합니다. 이러한 재설정을 수행하는 방법은 시스템 제조업체에 문의하십시오.
- 사용자가 암호를 변경하고 로그인하면 인텔® AMT 또는 인텔® Standard Manageability 구성 메뉴로 이동하여 "네트워크 액세스 활성화" 옵션을 사용할 수 있는지 확인할 수 있습니다.
- 메뉴 옵션이 있으면 인텔® AMT 또는 인텔® Standard Manageability 구성되지 않았음을 나타냅니다.
- 메뉴 옵션이 없으면 해당 장치에 인텔® AMT 또는 인텔® Standard Manageability 구성된 것입니다.
- 인텔® AMT 또는 인텔® Standard Manageability 동일한 메뉴에서 구성 해제할 수 있습니다. 이렇게 하면 장치가 배송된 후 인텔® AMT 또는 인텔® Standard Manageability 올바르게 구성됩니다.