Avamar : CVE-2017-5689 sur Avamar Data Store

La vulnérabilité de la technologie Intel Active Management Technology (AMT) a été découverte et publiée sous le nom CVE-2017-5689 le 2 mai 2017.

Un attaquant de réseau sans privilèges pourrait obtenir des privilèges système pour les unités de gestion de stock (SKU) d’Intel provisionnées : Intel Active Management Technology (AMT) et Intel Standard Manageability (ISM). Un attaquant local non privilégié pourrait provisionner des fonctionnalités de facilité de gestion, obtenant des privilèges de réseau ou de système local non privilégiés sur des références SKU de facilité de gestion Intel : Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) et Intel Small Business Technology (SBT).

Les scanners de sécurité ne peuvent pas vérifier tous les composants.

Les conditions suivantes doivent être remplies pour que le système soit vulnérable :

• Technologie vPro® dans le processeur
• L’interface du moteur de gestion (ME) dans les puces de support (les appareils Management Engine Interface (MEI) ou Host-Embedded Controller Interface (HECI) doivent être présents dans la sortie de lspci)
• Firmware de gestion de la technologie d’administration active (AMT) (doté d’un écran de démarrage du BIOS)
• Interface réseau

Bien que les processeurs Intel Xeon utilisés dans Avamar Data Store Gen4, Gen4s et Gen4T soient équipés de la technologie vPro®, il n’existe aucune interface ME (Management Engine) ni firmware de gestion AMT (Active Management Technology) sur les nœuds Avamar. La gestion est assurée à l’aide du contrôleur BMC (Baseboard Management Controller) doté de l’interface IPMI (Intelligent Platform Management Interface). Cela signifie que les nœuds Avamar Data Store ne sont pas vulnérables à CVE-2017-5689.