Intelin suorittimissa tietoturvaongelma

Intelin yrityssuorittimiin ja piirisarjoihin integroiduissa etähallintajärjestelmissä on havaittu haavoittuvuus, joka mahdollistaa hyökkääjän ottaa tietokone hallintaan. Haavoittuvuus muistuttaa vuonna 2015 esille tullutta tilannetta, mutta kyse on nyt SSH-tietoturvayrityksen perustajan Tatu Ylösen mukaan äärimmäisen vakavasta tietoturva-aukkosta.

Intelin Core with vPro- ja tiettyihin Xeon-sarjan prosessoreihin ja piirisarjoihin integroidussa hallinta- ja turvaosuudessa on havaittu tietoturvaongelma. Se liittyy Intelin ”Active Management Technology (AMT) -hallintajärjestelmän oletusarvoiseen salasanaan.

Intel julkaisi jo viime viikon alussa tiedotteen  korjauksesta palvelinmikrojen ja piirisarjojen useita vuosia vanhaan tietoturvahaavoittuvuuteen. Kyseinen haavoittuvuus, joka tunnetaan koodilla CVE-2017-5689, on kriittinen ja mahdollistaa käyttöoikeuksien nostamisen sekä tietokoneen muistisisällön vapaan käsittelyn.

Haavoittuvuuden hyväksikäyttö on mahdollista sekä etäyhteyden avulla, että paikallisesti. Viestintävirasto julkaisi asiasta tiedotteen tiistaina 2.5.2017. Vielä viime viikon alussa oli epäselvää, kuinka vaikeaa kyseiseen korjattuun aukkoon hyökätään. Viikon lopulla selvisi sittem, että hyökkäys  on helppoa.

Haavoittuvuuden tekniset yksityiskohdat tulivat myös julkisiksi nopeammin kuin moni tietoturvasta vastaava olisi halunnut. Tällä hetkellä suurimmassa vaarassa ovat suoraan Internetiin liitetyt Intel-pohjaiset palvelimet, työasemat, palomuurilaitteistot ja sulautetut järjestelmät.

Haavoittuvia ovat niin Linux- kuin Windows-käyttöjärjestelmää käyttävät tietokoneet. Yritysten sisäverkoissa olevat tietokoneet ovat myös vaarassa, jos rikollinen saa yhteyden yrityksen verkkoon.

Ongelmalle oman nettisivusto

Suomalaisen SSH-protokollan kehittäjä ja SSH Communications Securityn perustaja Tatu Ylönen on perustanut haavoittuvuuden tilanteen seuraamiselle oman nettisivun otsikolla Intel AMT. Linkki sivustolle on uutisen lopussa.

Ylösen nettisivusto luokittelee haavoittuvuuden erittäin pahaksi. Haavoittuvuus koskee hyvin suurta osaa Intelin prosessoreja käyttäviä palvelimia. Sitä käyttämällä voi ohittaa käytännössä lähes kaikki muut laitteessa olevat tietoturvaominaisuudet käyttöjärjestelmistä riippumatta.

Ylönen kuvaa haavoittuvuutta pahemmaksi kuin osasi kuvitella: Hänen mukaansa kannattaa varautua jo siihen, että laitteesi salaisiin tietoihin on saatettu päästä jo käsiksi.

Suositeltuna suojaus toimenpiteenä on AMT-toiminnallisuuden poiskytkeminen sekä Internetiin kytkettyjen palvelimien suojaaminen erillisellä vaarallisen liikenteen suodattavalla palomuurilla. Suodattaa kannattaa liikenne portteihin 16992, 16993, 16994, 16995, 623 ja 664.

Ohjelmalliset palomuuriratkaisut tai virustorjuntaohjelmat eivät nyt auta, koska haavoittuvuus tapahtuu laitteistotasolla ennen kuin pääprosessori saa tietoliikennepaketin käsieltäväkseen.

AMT-sivuston ohjeena on aloittaa suojaustoimenpiteet heti kaikkein tärkeimmistä palvelimista, eikä odottaa laitevalmistajien päivityksiä. Intel on julkaissut haavoittuvuuteen korjauksen, mutta kestää aikansa, että laitevalmistajat saavat tehtyä päivityksen omiin laiteohjelmistoihinsa.

Päivitykset pitää muistaa myös asentaa, koska korjaukset tämän kaltaisiin haavoittuvuuksiin eivät tule tyypillisesti automaattisten käyttöjärjestelmäpäivitysten mukana.

LISÄÄ: SSH/AMT (linkki), Viestintävirasto (LINKKI-2017 ja LINKKI-2015) ja Epanorama-sivuston uutinen (LINKKI)

Kuva: Shutterstock

Uusimmat teknologiauutiset kätevästi uutiskirjeessä – kerran viikossa (LINKKI).

LUE – UUTTA  – LUE – UUTTA – LUE – UUTTA

Uusi ammattilehti huipputekniikan kehittäjille – Lue ilmaiseksi!