Comment puis-je atténuer les vulnérabilités associées à la fonction KVM distante sur la station DGX A100

1. Mettre à jour le micrologiciel et les logiciels **

Assurez-vous que votre Station DGX A100 BMC est mise à jour vers la dernière version du micrologiciel. NVIDIA a publié des mises à jour pour traiter les vulnérabilités critiques telles que CVE-2023-31029, CVE-2023-31030 et CVE-2023-31024, qui affectent le démon KVM dans le BMC [1] [2] [4]. Ces mises à jour sont cruciales pour empêcher les débordements de pile et la corruption de la mémoire qui pourraient conduire à une exécution arbitraire de code, à un déni de service, une divulgation d'informations et une falsification des données.

2. Implémentez la segmentation du réseau **

Limitez l'accès au BMC en implémentant la segmentation du réseau. Cela implique d'isoler le réseau BMC du reste de votre infrastructure pour réduire la surface d'attaque. Assurez-vous que seul le personnel nécessaire a accès au réseau BMC et utilisez des pare-feu pour restreindre le trafic entrant vers le BMC [1] [4].

3. Utilisez des protocoles sécurisés **

Assurez-vous que tout l'accès à distance au KVM est effectué à l'aide de protocoles sécurisés. Cela comprend l'utilisation de HTTPS pour l'accès Web et SSH pour l'accès en ligne de commande. Évitez d'utiliser des protocoles non sécurisés comme HTTP ou Telnet, car ils peuvent exposer des informations sensibles [7].

4. Surveiller pour une activité suspecte **

Surveillez régulièrement vos journaux système pour toute activité suspecte. Cela comprend la surveillance des tentatives de connexion inhabituelles, des anomalies de paquets de réseau ou des changements inattendus dans le comportement du système. La mise en œuvre d'un système de détection d'intrusion (IDS) peut aider à identifier tôt les menaces potentielles [7].

5. Limiter les privilèges **

Assurez-vous que les utilisateurs accédant à la fonction KVM ont le moins de privilèges nécessaires pour effectuer leurs tâches. Limiter les privilèges peut réduire l'impact d'un exploit réussi en empêchant les attaquants d'escalader les privilèges ou d'accès à des données sensibles [7].

6. Appliquer des mesures de sécurité supplémentaires **

Envisagez de mettre en œuvre des mesures de sécurité supplémentaires telles que l'authentification à deux facteurs (2FA) pour tout l'accès à distance au BMC et au KVM. Cela ajoute une couche de sécurité supplémentaire, ce qui rend plus difficile pour les utilisateurs non autorisés de se faire accès [7].

7. Examiner et mettre à jour régulièrement les configurations de sécurité **

Examinez régulièrement vos configurations de sécurité pour vous assurer qu'elles sont à jour et alignées sur les meilleures pratiques. Cela comprend la vérification des nouvelles vulnérabilités et l'application des correctifs rapidement [4] [7].

En suivant ces étapes, vous pouvez réduire considérablement le risque associé aux vulnérabilités dans la fonction KVM distante de la station DGX A100. Assurez-vous toujours que votre système est mis à jour avec les derniers correctifs de sécurité et que vous implémentez des pratiques de sécurité robustes pour protéger contre les menaces potentielles.

Citations:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-lert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-imitigating-vulnerabilities-in- nvidia-dgx-bmc-systems
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---2024