IntelのPC向け管理技術「AMT」、デフォルトパスワードが「admin」になっていることが判明 27
ストーリー by hylom
脆弱ではある 部門より
脆弱ではある 部門より
Intelの一部のシステムでは、AMT(Active Management Technology)という管理用技術が搭載されている。このシステムに関する設定を行うにはパスワードが必要なのだが、デフォルトのパスワードが「admin」となっており、またユーザーが変更することはまれであるため、PCに物理的にアクセスできる第三者が容易に設定を変更できてしまうという問題があるそうだ(PC Watch、F-Secureの発表)。
この機能を悪用し、たとえばいわゆる「リモートKVM」を有効にすることで同一セグメントのネットワーク内からPCの画面を見たり、キーボードやマウスを遠隔操作することができるという。対策としては、AMTを利用できるマシンではパスワードを変更するといったものが考えられる。
昔から (スコア:5, すばらしい洞察)
バージョン1.6(thinkpad x61)から使い始めて、早6台目のPCですが、初期パスワードadminは初めからですよ。
(ログイン後は英大文字小文字、数字、記号を含めた8桁以上のパスワードに変更するよう要求されます)
またAMT自体使えるPCは昔はそう多くなく(目安としてcore2duo、core i5以上のCPUと主にQシリーズの
チップセット)、DELLなんか自社のRASボード売りたいらしく、対応製品でもAMTを無効にしているものまでありますし。
例:optiplex 7010
それと、そんなに外から侵入されるリスクもないと思います。初期値で使用するのは
ポート16992でwebログイン画面を開けますが、今市販のルーターは、UPnPで必要なポートを
内側から必要な時に開けられますが、これはUPnPなんかに対応していませんので、
ルーターを事前に設定しなければ外部から接続できません。
ですので個人的には、随分間の抜けた発表だなと思います。
Re:昔から (スコア:1)
> PCに物理的にアクセスできる第三者が容易に設定を変更できてしまうという問題があるそうだ
とのことですので、外部からの侵入されるリスクがあると言っているわけではないと思いますよ。
Re: (スコア:0)
まずMEの設定するのにパスワードを登録しないとならないし。
Re: (スコア:0)
BIOSはデフォルトではパスワードすら設定されてないけどやりたい放題だよね。
USBから起動して、OSが入ってるドライブにリモートツールを仕込むぐらい余裕。
Re: (スコア:0)
AMT入っててもリモートKVM使えないパターンも有ったりしますし、scott/tiger的な物がデフォルトで有効なのはやめようといった話かも。
意図せずセキュリティ的にアレなネットワークに繋ぐとOSはFirewallで防げるけどAMTはOSのFirewallで防げないし。
結局、貴方が意図しない機能が入っているかもしれませんから注意しましょうと言った注意喚起かな。
値段だけ見て、vPro/AMT対応PCだと知らずに買ってるエンドユーザーもいるかもしれないし。
大抵の会社ならキッティング時にBIOSのUSB BOOT禁止とかBIOSセットアップ起動禁止と同時にAMTも適切に設定してるだろうからあまりネタにならない気がする。
Re: (スコア:0)
デスクトップはモバイルすることはないですが
ノートは問題ありですよ
同一セグメントのネットワーク内から通信可能かどうかわからないネットワークに
確認もせずにつなぐなって言われたところで繋いじゃう奴は繋いじゃいます
まぁAMTは有線LAN限定で無線からは拒否するってのが仕様ですので
そうそう起こり得るものではないっちゃないですけれど
だからって問題がないわけじゃない
ルーターが初期パスワードのままで運用でおkって言われたら
とても同意できないでしょ昔からの仕様であったとしても
# x61はデスクノートっです!てことならまぁ(ry
Re:昔から (スコア:1)
当時はともかく、いまX61だともう電池が干上がってそうです。
まあACアダプタ運用でしょうけど。
Re: (スコア:0)
間の抜けた発表って言っちゃうほうが間が抜けてるよね。
別にセキュリティ的なリスクは外部からのみとは限らないよね。
組織内の関係者による犯行も考えられるよ。
例えば社長や経理担当者のPCを覗き見するとか、不正送金したりすることも可能だよね。
内部ネットワークだから、FirewallやIPSも通らずに検知も調査も難しかったりする。
重要な情報を取り扱うPCでは必ずAMTのパスワードを変えておく必要があるよね。
Re: (スコア:0)
デフォルトで有効なのが問題なのでは
うっかり侵入されるとお手軽にバックドアが設置できちゃう
Re: (スコア:0)
更に少なくともIntelのNUCやThinkpadでは通常出荷状態ではnic自体が無効化されてる。パスワード変更してログインした後にしかnicをアクティブにすることが出来ない。
リスクとしては、AMT設定してないPCを物理的触ってAMT設定をしてしまうことぐらいかな。
もういやだ (スコア:0)
AMTにインテルマネジメントエンジンにAMD Platform Security Processorにメルトダウンにスペクター。
もう使えるパソコンがこの世にない。
Re: (スコア:0)
そんなあなたにSPARC
Re:もういやだ (スコア:1)
うふふふ。逃げられませんよ。
https://www.theregister.co.uk/2018/01/16/oracle_quarterly_patches_jan_2018/ [theregister.co.uk]
Re: (スコア:0)
(´・ω・`)
Re: (スコア:0)
昔「パソコン教室でマウスの使い方を習ってきた」と
嬉しそうに話していたある知人のお年寄りが、
テレビのニュースか何かでコンピュータウィルスの事を知ったらしく「こんな怖いもの使えない」と言って、教室に通うのすら躊躇いだしたのを思い出した。
Re: (スコア:0)
現実的にPC使わない訳にはいかないけど、いらない機能で余計なリスク増やすのは勘弁してほしい。ノートPCのカメラもそう。ビジネス向けのレッツノートにすら搭載されてるけど、MSかIntelが強制でもしてるんだろうか?
Re: (スコア:0)
ノートPCの液晶のところについているカメラなら電話会議システムで顔の画像を送るのに使える
adminがだめなら何がいい? (スコア:0)
user: admin
pass: admin
なんてその辺のルーターでよくあるけど、
Re:adminがだめなら何がいい? (スコア:1)
よかった
ルータ user がroot だけで入れるから
今回の騒動とは関係ないな
Re:adminがだめなら何がいい? (スコア:1)
ルーターじゃないけど、DBの管理ユーザー(sa)のパスワードがrootってところはかなり多い気がするよ。
Re: (スコア:0)
今時は初回ログイン時に強制的にパスワードを設定させるようになってますよ。
AMTデフォルト無効、有効化時にパスワードを入れさせるで良いのでは?
# キッティングが面倒になるけど。
Re:adminがだめなら何がいい? (スコア:1)
忘れるんだな、これが。
初期画面で管理コンソールの認証鍵をUSBでインストールとか出来ないのかな。
多数の端末に、個別のパスワード設定していくのは間抜けすぎる。
Re: (スコア:0)
そうでもない。複数メーカー何機種か最新のを買ってみたけど、
デフォルトパスワードが無く、変更も必要ない機種が複数あった。
「ろぐいんできないんだけど!」って電凸受けるくらいならネグったれ、
って判断はまあわからんでもない。コンシューマ向けならね。
ふつー (スコア:0)
scott/tiger だよな
一般ユーザには笑えない話 (スコア:0)
11月のME脆弱性の時に調べてたことが役にたった
lenovoとか富士通のノートPCとか初期状態でAMT有効になってる端末もあるみたいですよ [security.srad.jp]
Re: (スコア:0)
そりゃ裏口が目立たないようにするには玄関は開けとかなきゃ。
ASUSのMB (スコア:0)
AMTをONにしてCtrl+P 連打したらAMTに入ったんだがadminでログインできないぞ