Intel AMT 固件密码绕过登录漏洞分析与实战

原创
安全 漏洞 应用安全 新闻
Intel AMT 固件密码绕过登录漏洞CVE漏洞编号CVE-2017-5689;Intel AMT 固件可以配置英特尔可管理性SKU:英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)。换句话说可以通过安装LMS软件包来管理硬件,提供Web访问接口。

【51CTO.com原创稿件】一、漏洞简介

2017年5月1日,英特尔公布了AMT漏洞(INTEL-SA-00075),但该漏洞的细节未公开。2017年5月5日,Tenable公司研究人员卡洛斯·佩雷斯通过分析LMS软件包,最终发现并成功利用该漏洞。

1.漏洞编号

Intel AMT 固件密码绕过登录漏洞CVE漏洞编号CVE-2017-5689;Intel AMT 固件可以配置英特尔可管理性SKU:英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)。换句话说可以通过安装LMS软件包来管理硬件,提供Web访问接口。无特权网络攻击者可以获得系统权限,可以添加管理员帐号,可以更改网络设置,可以远程重启计算机等。

AMT是一款可通过设备的有线以太网接口网络端口16992访问的带外管理工具:它将系统的完全控制暴露到网络,允许IT人员和其它系统管理员远程重启、修复并轻微调整服务器和工作站。它能够提供一个虚拟串行控制台和(如果安装的是正确的驱动)远程桌面访问权限。在获取权限之前应该要求提供密码,但是上述提到的漏洞意味着攻击者能够入侵硬件的控制面板。即使已经为系统的AMT访问权限设置了防火墙,但在用户网络上的攻击者或恶意软件仍然能够利用这个漏洞进入AMT管理的工作站和服务器并进一步攻陷企业。

2.受影响系统

受影响的硬件版本6.x,7.x,8.x ,9.x,10.x,11.0,11.5和11.6:

第一代 Core family: 6.2.61.3535

第二代 Core family: 7.1.91.3272

第三代Core family: 8.1.71.3608

第四代Core family: 9.1.41.3024 and 9.5.61.3012

第五代Core family: 10.0.55.3000

第六代Core family: 11.0.25.3001

第七代Core family: 11.6.27.3264

3.攻击场景

(1)可以直接关闭服务器电源

(2)通过加载img镜像文件重启系统,运行指定系统。

(3)直接修改BIOS

(4)通过KVM进行管理

4.漏洞利用原理

AMT 登录管理中通过response_length值来进行判断,也即关键代码:

  1. if(strncmp(computed_response, user_response, response_length)) 
  2. deny_access(); 

这个标准函数仅仅比较两个字符串中每一个的response_length字节,看看它们是不是一样,加以比较的两个字符串是试图登录所发送的验证响应(user_response)和服务要求的响应(computed_response)。如果两者相符,密码肯定对的,所以该函数返回零,代码继续授予访问权。如果两个字符串不一样,该函数返回值是非零,这意味着密码不对,所以拒绝访问。所以如果提供的是空字符串,长度为零,没有字节被检查,因而没有字节是不一样的;不出所料,strncmp()返回零,表明验证成功。因而,空的响应字符串被认为有效而被放行,实际上明明是无效的,因此通过修改response的所有值为空,即可绕过验证进行登录。

二、漏洞利用还原

1.搜索端口号

存在该漏洞对外提供的端口为16992、16993和623,可以借助zoomeye和shodan等搜索引擎搜索“port: 16992”、“port: 16993”和“port: 623”来获取,为了更加精准收集目标信息,可以可以增加关键字Intel®Active Management Technology,如图1所示,直接搜索Intel®Active Management Technology country:China country:China port:16992。

Intel AMT 固件密码绕过登录漏洞分析与实战

图1搜索存在端口的服务器

2.查看是否正常运行web服务器

在搜索结果中对存在二个正方形的图标的记录进行查看,例如直接单击打开“118.150.17.193”搜索结果记录地址“http://118.150.17.193:16992/logon.htm”如图2所示,网站能够正常运行。

Intel AMT 固件密码绕过登录漏洞分析与实战

图2查看AMT服务是否正常运行

3.修改burpsuite设置

运行burpsuite后,单击“Proxy”-“Option”,在“Match and Replace”中新建或者编辑Request Header条目,Match值为response\s*="[0-9a-f]+",Replace 的值为response="",设置如图3所示,在拦截(Intercept)中设置拦截开关为“Intercept is On”。

Intel AMT 固件密码绕过登录漏洞分析与实战

图3修改burpsuite设置

4.使用admin登录

回到浏览器中(一定要设置IE代理为127.0.0.1代理端口8080),单击“Log On”进行登录,用户名输入admin,密码随便输入。

Intel AMT 固件密码绕过登录漏洞分析与实战

图4使用admin进行登录

5.成功登录AMT管理界面

在burpsuite的Intercept中,单击“Forward”进行放行,如图5所示,成功登录AMT管理界面,在该界面中可以看到电源的状态是休眠,IP地址,无线IP地址,系统ID等信息,还可以查看系统、处理器、内存、磁盘和电源等详细情况。

Intel AMT 固件密码绕过登录漏洞分析与实战

图5登录AMT管理界面

6.远程重启系统

单击“Remote Control”(远程控制),如图6所示,可以进行常规启动,从光盘启动,从硬盘启动,甚至直接关闭电源!对于重要的系统,一旦关闭电源,其后果可以想象一下!

Intel AMT 固件密码绕过登录漏洞分析与实战

图6远程控制系统

7.用户帐号管理

单击“User Accounts”,在其中可以新建用户,修改用户密码,删除用户以及更改管理员,如图7所示,还可以设置管理员的权限级别。添加用户其密码强度有要求,要求最少8位,密码为字母大小写,数字和特殊字符组成,如图8所示,否则无法添加成功。

Intel AMT 固件密码绕过登录漏洞分析与实战

图7用户管理

Intel AMT 固件密码绕过登录漏洞分析与实战

图8修改密码

8.使用Nmap对目标IP进行全TCP端口扫描

使用Nmap对目标IP进行全TCP端口扫描的结果表明,存在16992、16994和623端口。如图9所示,跟Tenable公司研究提出的端口16992、16993和 623有所出入。

三、kali平台下msf利用

直接运行msf,然后使用以下模块进行测试:

  1. use auxiliary/scanner/http/intel_amt_digest_bypass 
  2. msf auxiliary(intel_amt_digest_bypass) > show actions 
  3. msf auxiliary(intel_amt_digest_bypass) > set ACTION 
  4. msf auxiliary(intel_amt_digest_bypass) > show options 
  5. msf auxiliary(intel_amt_digest_bypass) > run 

四、安全防范

1.扫描

Tenable公司已经在Nessus中更新最新脚本,使用该扫描器的朋友可以更新其Scripts即可。对其它扫描器,可以增加扫描端口16992、16993、16994和623端口。一旦开启通过手工访问进行判断。

2.加固

在防火墙上关闭16992、16993、16994和623端口,等待intel公司提供升级补丁后更新固件或者升级。

五、参考文章

(1)https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5689

(2)https://threatpost.com/researcher-baseless-assumptions-exist-about-intel-amt-vulnerability

/125390/

(3)https://www.tenable.com/blog/rediscovering-the-intel-amt-vulnerability

(4)https://www.embedi.com/files/white-papers/Silent-Bob-is-Silent.pdf

(5)https://www.rapid7.com/db/modules/auxiliary/scanner/http/intel_amt_digest_bypass

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2009-08-13 16:28:07

windows2008密码验证

2023-11-15 12:53:31

2012-06-13 09:26:46

2020-10-13 11:27:51

漏洞

2011-09-28 10:12:06

Mac OS X

2023-11-23 14:37:29

2017-01-15 22:51:16

2013-09-26 09:55:37

2015-09-17 10:20:31

漏洞锁屏密码

2015-08-05 13:56:30

2018-03-06 11:15:00

Linux命令行微码

2012-02-24 09:25:58

2020-08-13 08:02:15

堡垒机远程登录

2021-05-26 14:36:21

漏洞苹果恶意软件

2022-06-16 13:43:45

漏洞黑客网络攻击

2015-04-30 19:10:24

2021-02-08 20:50:47

支付美团

2009-05-22 10:11:19

2021-07-19 10:10:15

身份验证漏洞Windows Hel

2022-03-10 16:24:25

安全漏洞Spectre网络攻击
点赞
收藏

51CTO技术栈公众号