Come posso mitigare le vulnerabilità associate alla funzione KVM remota sulla stazione DGX A100

1. Aggiorna il firmware e il software **

Assicurati che la tua stazione DGX A100 BMC sia aggiornata all'ultima versione del firmware. NVIDIA ha rilasciato aggiornamenti per affrontare le vulnerabilità critiche come CVE-2023-31029, CVE-2023-31030 e CVE-2023-31024, che colpiscono il demone KVM nel BMC [1] [2] [4]. Questi aggiornamenti sono cruciali per prevenire gli overflow dello stack e la corruzione della memoria che potrebbero portare all'esecuzione arbitraria del codice, alla negazione del servizio, alla divulgazione delle informazioni e alla manomissione dei dati.

2. Implementare la segmentazione della rete **

Limitare l'accesso al BMC implementando la segmentazione della rete. Ciò comporta l'isolamento della rete BMC dal resto dell'infrastruttura per ridurre la superficie di attacco. Assicurarsi che solo il personale necessario abbia accesso alla rete BMC e utilizzi i firewall per limitare il traffico in arrivo al BMC [1] [4].

3. Usa protocolli sicuri **

Assicurarsi che tutto l'accesso remoto al KVM sia eseguito utilizzando protocolli sicuri. Ciò include l'utilizzo di HTTPS per l'accesso basato sul Web e SSH per l'accesso alla riga di comando. Evita di utilizzare protocolli non sicuri come HTTP o Telnet, poiché possono esporre informazioni sensibili [7].

4. Monitor per attività sospette **

Monitora regolarmente i registri del sistema per qualsiasi attività sospetta. Ciò include il monitoraggio per tentativi di accesso insoliti, anomalie dei pacchetti di rete o cambiamenti imprevisti nel comportamento del sistema. L'implementazione di un sistema di rilevamento delle intrusioni (IDS) può aiutare a identificare presto le potenziali minacce [7].

5. Privilegi limite **

Assicurarsi che gli utenti che accedono alla funzione KVM abbiano i minori privilegi necessari per svolgere le loro attività. Limitare i privilegi può ridurre l'impatto di un exploit di successo impedendo agli aggressori di aumentare i privilegi o accedere a dati sensibili [7].

6. Applicare ulteriori misure di sicurezza **

Prendi in considerazione l'implementazione di ulteriori misure di sicurezza come l'autenticazione a due fattori (2FA) per tutto l'accesso remoto a BMC e KVM. Ciò aggiunge un ulteriore livello di sicurezza, rendendo più difficile per gli utenti non autorizzati ottenere l'accesso [7].

7. Rivedi regolarmente e aggiorna le configurazioni di sicurezza **

Rivedi regolarmente le configurazioni di sicurezza per assicurarti che siano aggiornate e allineate con le migliori pratiche. Ciò include il controllo di eventuali nuove vulnerabilità e l'applicazione prontamente delle patch [4] [7].

Seguendo questi passaggi, è possibile ridurre significativamente il rischio associato alle vulnerabilità nella funzione KVM remota sulla stazione DGX A100. Assicurati sempre che il tuo sistema sia aggiornato con le ultime patch di sicurezza e che implementano solide pratiche di sicurezza per proteggere dalle potenziali minacce.

Citazioni:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-A100--- GIANAUS-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-mitigating-vulnerabilities-in-nvidia-dgx-bmc-systems
[8] http://cdn.cnetContent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800 ---february-2024