社内向けに Qiita:Team で共有した、件の脆弱性の調査・対応方法のまとめを公開してみます。
脆弱性の調査・対応って難しい(で、その脆弱性でどんな影響があるの?どうやって?がわからない)し、どんな対応をしたよ〜みたいな具体的な事例が少ない気がするので公開してみようと思いました。「影響を受ける機器があるかどうか判断する」ことに焦点を絞った内容になっています。
間違った内容があれば教えていただけると助かります…。 🙏
「なんかヤバそう」な脆弱性対応の流れ
大きめの脆弱性はだいたい以下のような流れで対応しています。
- 脆弱性の調査・共有
- 脆弱性の概要・対象システムの判定方法・対応方法を共有する
- 脆弱性対応が必要となったシステムがあれば各チームで対応
社内で共有した内容
今回の脆弱性では以下のようなまとめ記事を共有しました。
概要
Intel の一部の CPU で脆弱性が発表されました。
以下についてまとめます。
- どのような脆弱性か
- 影響を受けるシステム
- 対象サーバの調査方法
- 対応方法
(弊社の場合の) 先に結論
AWS
- ハードウェアの話なので AWS 内部でよしなにやってくれるはず…。その際にインスタンスの再起動とかはあるのかもしれない 👀
オンプレミス
- 影響なし
- 一部サーバの CPU が対象そうに見えたが、ベンダのページで対象外であることを確認
どのような脆弱性か
まず対象となるファームウェアは以下の3つです。
- Management Engine
- Trusted Execution Engine
- Server Platform Services
少し調べてもあまりこれらのシステムが何に使われているのかよくわからなかったのですが、例えば AMT( Active Management Technology ) という機器の再起動や BIOS の設定をリモートで( OS 要らずで)行うことの出来るシステムが有り、これが Management Engine の一部として提供されていたりするようです。そしてリモート操作のためのプロトコルとしては TLS が使われているとのこと。
今回の脆弱性は遠隔から OS に認識されることなく任意のコードが実行される可能性があると紹介されていましたが、具体的には AMT のようなシステム( OS より下のレイヤーで機器をコントロールできるシステム)が悪用される可能性があるということっぽい…(たぶん)。
影響を受けるシステム
以下の Intel プロセッサを使っている機器が対象になりうる。
- Intel® Management Engine Critical Firmware Update (Intel SA-00086)
- 6th, 7th, and 8th generation Intel® Core™ Processor Family:
- Intel® Xeon® Processor E3-1200 v5 and v6 Product Family
- Intel® Xeon® Processor Scalable Family
- Intel® Xeon® Processor W Family
- Intel Atom® C3000 Processor Family
- Apollo Lake Intel Atom® Processor E3900 series
- Apollo Lake Intel® Pentium® Processors
- Intel® Celeron® N and J series Processors
対象サーバの調査方法
Mackerel を使っている場合は以下のように mkr
コマンドと jq
コマンドで使用している CPU の情報を一覧して確認できる。
- Xeon 前提
- Xeon のモデル名でフィルタリング(
test("E3|Scalable|W")
) マルチコアの場合は1つのホストに対して複数表示される
bash mkr hosts -v | jq '.[] | select(.meta.cpu[].model_name | test("E3|Scalable|W")) | {name: .name, cpu: .meta.cpu[].model_name}'
該当するホストがあればインテルの提供するチェックツールを入れて確認。
もしくはいきなりベンダ毎のページ見ても良いかも。該当するモデルが書いていなければ OK なはずなので。
- Intel® Management Engine Critical Firmware Update (Intel SA-00086)
- 上記サイトの
Resources from system manufacturers
以下のリンクを参照
- 上記サイトの
対応方法
影響があるなら各ベンダのページから対応方法を確認。ファームウェアのアップデートになるはず。
- Intel® Management Engine Critical Firmware Update (Intel SA-00086)
- 上記サイトの
Resources from system manufacturers
以下のリンクを参照
- 上記サイトの
例えば HP の場合は以下(大変そう… 💦 )。
参考リンク
ニュース
- インテルの「Management Engine」などに複数の脆弱性--ファームウェアを修正 - ZDNet Japan
- 2015年以降のインテルCPUに遠隔攻撃許す深刻な脆弱性。サーバーからIoTまで、早急なファームウェアの更新を呼びかけ - Engadget 日本版
Intel
脆弱性の概要。
技術的な詳細。
HPE
対象機器とその対応方法。
その他
まとめ
脆弱性が発表された場合はなるべく早く対応したいですが、調査に時間がかかることが多いです…。
なのでまずは「自分たちが使っている機器の中で影響があるかどうか」を先に調べれば良いかもしれません(それを調べるために脆弱性の詳細を見ないと判断できない場合もありますが…)。
まとめ記事の先頭に「先に結論」を入れることで、メンバーが対応が必要なのかそうでないのか、すぐにわかるようにしています。
セキュリティクラスタの人はすごい(小並感)。