Как стать автором
Обновить

Хакеры использовали функцию CPU Intel Serial-over-LAN для обхода фаервола

Время на прочтение 3 мин
Количество просмотров 13K
Всего голосов 18: ↑15 и ↓3 +12
Комментарии 15

Комментарии 15

"Их нравы"

В чем уязвимость-то? Ребята использовали стандартный функционал SOL
Ну в какой-то степени это уязвимость, все-таки «нецелевое» использование функции

Как по мне — уязвимость. Что-то уровня sandbox escape, т.к. эти уровни не должны пересекаться, по-хорошему, если посмотреть с точки зрения безопасности. Об этом говорили давно, но вот выплыло только теперь. Фактически, при некоторых обстоятельствах, закладка — выпилить-то её невозможно, существует помимо воли владельца в системе и максимум, как можно защититься — не выводить её в доступную для злоумышленника среду, т.е. теряется вся идея удобства управления и спускается на уровень serial-порта. Вставать и ножками идти к серверам. Кстати, у меня такого рода вещи с момента появления (как раз из-за опасений) подключены только к изолированному свичу там же, в серверной. Разницы в схеме нет, попади злоумышленник туда — свич, сериал — уже без разницы.
Кстати, в первых ревизиях таких технологий всё ещё хуже. Там эта информация повешена на один из портов сетевого адаптера. Вот тут уж полная жесть. Интерфейс всегда смотрит в сеть. Или не использовать вообще, или попытаться отключить в BIOS, например.
Точно грешили этим какие-то проц/мать intel (у меня пара таких) года 10-11 выпусков, и точно есть такая беда у почившего ныне Sun Microsystems на amd (но тут amd не при чём — это всё же sun) — все sunfire x2200 (и 2100, кажется, тоже) — ILOM доступен через один из сетевых интерфейсов, причём были проблемы, когда отключение проходило некорректно и он продолжал отвечать на запросы из сети.

Какая уязвимость? Вы вообще понимаете, о чём пишете?
НЛО прилетело и опубликовало эту надпись здесь

Не совсем. Функционал com ныне доступен по сети (ещё один сетевой интерфейс, но не для пользовательских данных, если хотите). Там не комп-шнурок-ком-порт, а интерфейс-патчкорд-коммутатор (для простоты представления).

НЛО прилетело и опубликовало эту надпись здесь
Грустно наблюдать, когда стандартный функционал разработки пятнадцатилетней давности вдруг обнаруживается в заголовках с фразами «удалось обнаружить» и «высококвалифицированных подразделений киберразведки».
Э, а куда злоумышленник подсоединяется? :)
На MAC-адрес, на IP?
Другу надо?
Не :)
Я просто не понимаю как на внутренний комп в корп сети может залезть зловред таким способом.
Только если ядро сети уже больное.
На TCP-порт 16994. Intel AMT умеет воровать пакеты из сетевого интерфейса до того, как они попадают в ОС.
давно пора выпилить этот АНБ-backdoor и кое кому это удалось
Зарегистрируйтесь на Хабре , чтобы оставить комментарий