Avamar: CVE-2017-5689 w Avamar Data Store

Luka w zabezpieczeniach technologii Intel Active Management Technology (AMT) została odkryta i opublikowana jako CVE-2017-5689 w dniu 02 maja 2017 r.

Nieuprzywilejowana osoba atakująca w sieci może uzyskać uprawnienia systemowe do przydzielonych jednostek magazynowych (SKU) zarządzanych przez firmę Intel: Technologia Intel Active Management Technology (AMT) i Intel Standard Manageability (ISM). Nieuprzywilejowana osoba atakująca lokalnie może udostępnić funkcje zarządzania, uzyskując nieuprzywilejowane uprawnienia sieciowe lub lokalne uprawnienia systemowe w SKU funkcji zarządzania Intel: Technologie Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) i Intel Small Business Technology (SBT).

Skanery zabezpieczeń nie są w stanie sprawdzić wszystkich komponentów.

Aby system był podatny na ataki, muszą być spełnione następujące warunki:

• Technologia vPro® w procesorze
• Interfejs Management Engine (ME) w układach pomocniczych (urządzenia Management Engine Interface (MEI) lub Host-Embedded Controller Interface (HECI) powinny być obecne na wyjściu lspci)
• Oprogramowanie wewnętrzne do zarządzania Active Management Technology (AMT) (z ekranem powitalnym systemu BIOS)
• Interfejs sieciowy

Chociaż procesory Intel Xeon używane w Avamar Data Store Gen4, Gen4s i Gen4T są wyposażone w technologię vPro®, w żadnym z węzłów Avamar nie ma interfejsu Management Engine (ME) ani oprogramowania wewnętrznego do zarządzania Active Management Technology (AMT). Zarządzanie odbywa się za pomocą kontrolera Baseboard Management Controller (BMC) z interfejsem Intelligent Platform Management Interface (IPMI). Oznacza to, że węzły Avamar Data Store nie są podatne na lukę CVE-2017-5689.