パスワードを忘れた? アカウント作成
13506268 story
Intel

IntelのPC向け管理技術「AMT」、デフォルトパスワードが「admin」になっていることが判明 27

ストーリー by hylom
脆弱ではある 部門より

Intelの一部のシステムでは、AMT(Active Management Technology)という管理用技術が搭載されている。このシステムに関する設定を行うにはパスワードが必要なのだが、デフォルトのパスワードが「admin」となっており、またユーザーが変更することはまれであるため、PCに物理的にアクセスできる第三者が容易に設定を変更できてしまうという問題があるそうだ(PC WatchF-Secureの発表)。

この機能を悪用し、たとえばいわゆる「リモートKVM」を有効にすることで同一セグメントのネットワーク内からPCの画面を見たり、キーボードやマウスを遠隔操作することができるという。対策としては、AMTを利用できるマシンではパスワードを変更するといったものが考えられる。

  • 昔から (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2018年01月19日 12時56分 (#3347511)

    バージョン1.6(thinkpad x61)から使い始めて、早6台目のPCですが、初期パスワードadminは初めからですよ。
    (ログイン後は英大文字小文字、数字、記号を含めた8桁以上のパスワードに変更するよう要求されます)

    またAMT自体使えるPCは昔はそう多くなく(目安としてcore2duo、core i5以上のCPUと主にQシリーズの
    チップセット)、DELLなんか自社のRASボード売りたいらしく、対応製品でもAMTを無効にしているものまでありますし。
    例:optiplex 7010

    それと、そんなに外から侵入されるリスクもないと思います。初期値で使用するのは
    ポート16992でwebログイン画面を開けますが、今市販のルーターは、UPnPで必要なポートを
    内側から必要な時に開けられますが、これはUPnPなんかに対応していませんので、
    ルーターを事前に設定しなければ外部から接続できません。

    ですので個人的には、随分間の抜けた発表だなと思います。

    ここに返信
    • by herb-tea (40257) on 2018年01月19日 13時12分 (#3347527) 日記

      > PCに物理的にアクセスできる第三者が容易に設定を変更できてしまうという問題があるそうだ

      とのことですので、外部からの侵入されるリスクがあると言っているわけではないと思いますよ。

      • by Anonymous Coward

        まずMEの設定するのにパスワードを登録しないとならないし。

    • by Anonymous Coward

      BIOSはデフォルトではパスワードすら設定されてないけどやりたい放題だよね。
      USBから起動して、OSが入ってるドライブにリモートツールを仕込むぐらい余裕。

    • by Anonymous Coward

      AMT入っててもリモートKVM使えないパターンも有ったりしますし、scott/tiger的な物がデフォルトで有効なのはやめようといった話かも。
      意図せずセキュリティ的にアレなネットワークに繋ぐとOSはFirewallで防げるけどAMTはOSのFirewallで防げないし。

      結局、貴方が意図しない機能が入っているかもしれませんから注意しましょうと言った注意喚起かな。
      値段だけ見て、vPro/AMT対応PCだと知らずに買ってるエンドユーザーもいるかもしれないし。

      大抵の会社ならキッティング時にBIOSのUSB BOOT禁止とかBIOSセットアップ起動禁止と同時にAMTも適切に設定してるだろうからあまりネタにならない気がする。

    • by Anonymous Coward

      デスクトップはモバイルすることはないですが
      ノートは問題ありですよ

      同一セグメントのネットワーク内から通信可能かどうかわからないネットワークに
      確認もせずにつなぐなって言われたところで繋いじゃう奴は繋いじゃいます

      まぁAMTは有線LAN限定で無線からは拒否するってのが仕様ですので
      そうそう起こり得るものではないっちゃないですけれど
      だからって問題がないわけじゃない

      ルーターが初期パスワードのままで運用でおkって言われたら
      とても同意できないでしょ昔からの仕様であったとしても

      # x61はデスクノートっです!てことならまぁ(ry

    • by Anonymous Coward

      間の抜けた発表って言っちゃうほうが間が抜けてるよね。

      別にセキュリティ的なリスクは外部からのみとは限らないよね。
      組織内の関係者による犯行も考えられるよ。

      例えば社長や経理担当者のPCを覗き見するとか、不正送金したりすることも可能だよね。
      内部ネットワークだから、FirewallやIPSも通らずに検知も調査も難しかったりする。

      重要な情報を取り扱うPCでは必ずAMTのパスワードを変えておく必要があるよね。

    • by Anonymous Coward

      デフォルトで有効なのが問題なのでは
      うっかり侵入されるとお手軽にバックドアが設置できちゃう

    • by Anonymous Coward

      更に少なくともIntelのNUCやThinkpadでは通常出荷状態ではnic自体が無効化されてる。パスワード変更してログインした後にしかnicをアクティブにすることが出来ない。

      リスクとしては、AMT設定してないPCを物理的触ってAMT設定をしてしまうことぐらいかな。

  • by Anonymous Coward on 2018年01月19日 13時30分 (#3347540)

    AMTにインテルマネジメントエンジンにAMD Platform Security Processorにメルトダウンにスペクター。

    もう使えるパソコンがこの世にない。

    ここに返信
    • by Anonymous Coward

      そんなあなたにSPARC

    • by Anonymous Coward

      昔「パソコン教室でマウスの使い方を習ってきた」と
      嬉しそうに話していたある知人のお年寄りが、
      テレビのニュースか何かでコンピュータウィルスの事を知ったらしく「こんな怖いもの使えない」と言って、教室に通うのすら躊躇いだしたのを思い出した。

    • by Anonymous Coward

      現実的にPC使わない訳にはいかないけど、いらない機能で余計なリスク増やすのは勘弁してほしい。ノートPCのカメラもそう。ビジネス向けのレッツノートにすら搭載されてるけど、MSかIntelが強制でもしてるんだろうか?

      • by Anonymous Coward

        ノートPCの液晶のところについているカメラなら電話会議システムで顔の画像を送るのに使える

  • by Anonymous Coward on 2018年01月19日 14時10分 (#3347570)

    user: admin
    pass: admin
    なんてその辺のルーターでよくあるけど、

    ここに返信
  • by Anonymous Coward on 2018年01月19日 15時06分 (#3347614)

    scott/tiger だよな

    ここに返信
  • by Anonymous Coward on 2018年01月19日 17時02分 (#3347689)

    11月のME脆弱性の時に調べてたことが役にたった
    lenovoとか富士通のノートPCとか初期状態でAMT有効になってる端末もあるみたいですよ [security.srad.jp]

    ここに返信
    • by Anonymous Coward

      そりゃ裏口が目立たないようにするには玄関は開けとかなきゃ。

  • by Anonymous Coward on 2018年01月19日 21時16分 (#3347806)

    AMTをONにしてCtrl+P 連打したらAMTに入ったんだがadminでログインできないぞ

    ここに返信
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...