Zmírnění zranitelnosti spojené se vzdáleným funkcí KVM na stanici NVIDIA DGX A100 zahrnuje řešení konkrétních problémů zabezpečení v řadiči pro správu základní desky (BMC) a zajištění aktualizace vašeho systému s nejnovějšími opravami zabezpečení. Zde je několik kroků a úvah, které pomáhají zmírnit tyto zranitelnosti:
1. Aktualizujte firmware a software **
Ujistěte se, že vaše stanice DGX A100 BMC bude aktualizována na nejnovější verzi firmwaru. NVIDIA zveřejnila aktualizace, aby se zabývala kritickými chybami, jako je CVE-2023-31029, CVE-2023-31030 a CVE-2023-31024, které ovlivňují démona KVM v BMC [1] [2] [4]. Tyto aktualizace jsou zásadní pro prevenci přetečení zásobníku a korupce paměti, které by mohly vést k provádění libovolného kódu, odmítnutí služby, zveřejnění informací a manipulaci s daty.
2. implementace segmentace sítě **
Omezte přístup k BMC implementací segmentace sítě. To zahrnuje izolaci sítě BMC od zbytku vaší infrastruktury, aby se snížil povrch útoku. Zajistěte, aby pouze nezbytný personál měl přístup k síti BMC, a použijte firewally k omezení příchozího provozu na BMC [1] [4].
3. Použijte zabezpečené protokoly **
Ujistěte se, že veškerý vzdálený přístup k KVM se provádí pomocí zabezpečených protokolů. To zahrnuje použití HTTPS pro webový přístup a SSH pro přístup příkazového řádku. Vyvarujte se používání nejistých protokolů, jako je HTTP nebo Telnet, protože mohou odhalit citlivé informace [7].
4. Sledujte podezřelou aktivitu **
Pravidelně sledujte systémové protokoly pro jakoukoli podezřelou aktivitu. To zahrnuje monitorování neobvyklých pokusů o přihlášení, anomálie síťových paketů nebo neočekávané změny v chování systému. Implementace systému detekce narušení (IDS) může pomoci včas identifikovat potenciální hrozby [7].
5. Omezení oprávnění **
Ujistěte se, že uživatelé, kteří mají přístup k funkci KVM, mají nejmenší privilegia nezbytná k plnění svých úkolů. Omezení privilegií může snížit dopad úspěšného vykořisťování tím, že zabrání útočníkům v eskalaci privilegií nebo přístupem k citlivým datům [7].
6. Použijte další bezpečnostní opatření **
Zvažte implementaci dalších bezpečnostních opatření, jako je dvoufaktorová autentizace (2FA) pro veškerý vzdálený přístup k BMC a KVM. To přidává další vrstvu zabezpečení, což ztěžuje neautorizovaným uživatelům získat přístup [7].
7. Pravidelně kontrolujte a aktualizujte konfigurace zabezpečení **
Pravidelně kontrolujte své bezpečnostní konfigurace, abyste zajistili, že jsou aktuální a jsou v souladu s osvědčenými postupy. To zahrnuje kontrolu jakýchkoli nových zranitelnosti a okamžité použití záplat [4] [7].
Dodržováním těchto kroků můžete výrazně snížit riziko spojené se zranitelností ve vzdálené funkci KVM na stanici DGX A100. Vždy se ujistěte, že váš systém bude aktualizován nejnovějšími záplatami zabezpečení a implementujete robustní bezpečnostní postupy, které chrání před potenciálními hrozbami.
Citace:
[1] https://nvidia.custhelp.com/apps/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-A100--January-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-n-nvidia-i-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-critical-dgx-a100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-Mitigating-VulnerabIlities-in-nvidia-dgx-bmc-systems
[8] http://cdn.cnetcontent.com/2f/68/2F6888A0-063F-4D76-94E4-8666B7619DFD.pdf
[9] https://github.com/advisories/GHSA-XJ8C-VCC9-5MFQ
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800-february-2024