Skip to content
PortsDB

Référence des ports

Port 16992 (TCP) – Intel AMT / ME

Interface web/SOAP Intel Active Management Technology pour la gestion distante hors bande sous le système d'exploitation.

tcpRegisteredSouvent attaqué

État par défaut

Ouvert sur les systèmes Intel vPro avec AMT provisionné. Souvent non géré ou non provisionné, laissant le moteur de gestion accessible sur le réseau.

Attaques courantes

  • Contournement d'authentification CVE-2017-5689 via un condensat de mot de passe vide
  • Prise de contrôle totale hors bande sous l'OS (alimentation, KVM, média de démarrage)
  • Recherche d'interfaces AMT exposées sur 16992/16993
  • Persistance dans le moteur de gestion sous le système d'exploitation

CVE-2017-5689

Durcissement

  • Déprovisionner AMT/ME là où il n'est pas activement utilisé
  • Appliquer les mises à jour du micrologiciel Intel ME corrigeant CVE-2017-5689
  • Ne jamais exposer le 16992/16993 à Internet — isoler les VLAN d'administration
  • Exiger des mots de passe administrateur AMT forts et activer TLS (16993)
  • Restreindre l'accès par liste blanche d'IP aux stations d'administration connues

Commande nmap

nmap -p16992 --script http-title,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Ce qui s'exécute sur le port 16992

Le port 16992 est l'interface HTTP d'Intel Active Management Technology (AMT), partie du Management Engine (ME) des plateformes Intel vPro. Il fournit une gestion hors bande — contrôle de l'alimentation, KVM distant et redirection du média de démarrage — qui s'exécute sous le système d'exploitation et fonctionne même quand l'OS hôte est éteint ou planté. L'équivalent TLS écoute sur le 16993.

Pourquoi c'est important pour la sécurité

Comme AMT opère sous l'OS, le contrôler revient à contrôler toute la machine, indépendamment de toute sécurité au niveau du système. CVE-2017-5689 est la faille déterminante : un attaquant peut s'authentifier en envoyant un condensat de mot de passe vide, contournant entièrement l'authentification et obtenant le contrôle de gestion complet. Une interface AMT exposée, non provisionnée ou non corrigée est donc une voie vers une compromission profonde, persistante, au niveau du micrologiciel.

Comment c'est attaqué

Les attaquants recherchent les 16992/16993 et identifient l'interface web AMT via les données http-title et banner. Contre un micrologiciel vulnérable, ils exploitent CVE-2017-5689 pour contourner l'authentification, puis utilisent les fonctions AMT légitimes — alimentation, KVM et redirection de démarrage — pour prendre le contrôle de l'hôte sous l'OS et persister dans le moteur de gestion.

Liste de durcissement

Déprovisionnez AMT/ME sur les systèmes qui ne l'utilisent pas, et appliquez les mises à jour du micrologiciel Intel ME qui corrigent CVE-2017-5689. N'exposez jamais le 16992/16993 à Internet — isolez l'administration sur un VLAN dédié, restreignez par liste blanche d'IP aux stations d'administration connues, exigez des mots de passe administrateur AMT forts et activez TLS sur le 16993. Utilisez la commande nmap ci-dessus pour trouver les interfaces exposées sur les hôtes que vous êtes autorisé à évaluer.

Ports liés

Port 16993Port 623Port 3389Port 5900

Questions fréquentes

Pourquoi CVE-2017-5689 est-elle si grave ?
Elle permet à un attaquant de s'authentifier auprès d'Intel AMT en envoyant un condensat de mot de passe vide, contournant entièrement l'authentification. AMT s'exécute sous l'OS, donc un contournement réussi accorde le contrôle total quel que soit le système d'exploitation installé.
Quelle différence entre 16992 et 16993 ?
Le 16992 est l'interface HTTP en clair vers Intel AMT ; le 16993 est l'équivalent chiffré TLS. Les deux exposent la même surface de gestion hors bande et doivent être verrouillés.