Łagodzenie luk w zabezpieczeniach związanych ze zdalną funkcją KVM w stacji NVIDIA DGX A100 polega na rozwiązaniu określonych problemów bezpieczeństwa w kontrolerze zarządzania Baseboardem (BMC) i zapewnienie aktualizacji systemu o najnowsze łatki bezpieczeństwa. Oto kilka kroków i rozważań, które pomogą złagodzić te luki:
1. Aktualizacja oprogramowania układowego i oprogramowania **
Upewnij się, że stacja DGX A100 BMC jest aktualizowana do najnowszej wersji oprogramowania układowego. NVIDIA opublikowała aktualizacje dotyczące krytycznych luk w zabezpieczeniach, takich jak CVE-2023-31029, CVE-2023-31030 i CVE-2023-31024, które wpływają na demon KVM w BMC [1] [2] [4]. Aktualizacje te są kluczowe dla zapobiegania przepełnieniu stosu i uszkodzeniu pamięci, które mogą prowadzić do dowolnego wykonywania kodu, odmowy usługi, ujawnienia informacji i manipulowania danymi.
2. Wdrożenie segmentacji sieci **
Ogranicz dostęp do BMC, wdrażając segmentację sieci. Obejmuje to izolowanie sieci BMC od reszty infrastruktury w celu zmniejszenia powierzchni ataku. Upewnij się, że tylko niezbędny personel ma dostęp do sieci BMC i użyj zapory ogniowej, aby ograniczyć przychodzący ruch do BMC [1] [4].
3. Użyj bezpiecznych protokołów **
Upewnij się, że cały zdalny dostęp do KVM odbywa się przy użyciu bezpiecznych protokołów. Obejmuje to użycie HTTPS do dostępu internetowego i SSH do dostępu do wiersza poleceń. Unikaj stosowania niepewnych protokołów, takich jak HTTP lub Telnet, ponieważ mogą ujawniać poufne informacje [7].
4. Monitorowanie podejrzanej aktywności **
Regularnie monitoruj dzienniki systemu pod kątem wszelkich podejrzanych aktywności. Obejmuje to monitorowanie nietypowych prób logowania, anomalii pakietów sieciowych lub nieoczekiwanych zmian w zachowaniu systemu. Wdrożenie systemu wykrywania włamań (IDS) może pomóc wcześnie zidentyfikować potencjalne zagrożenia [7].
5. Uprzywilejki limitu **
Upewnij się, że użytkownicy uzyskiwania dostępu do funkcji KVM mają najmniejsze uprawnienia niezbędne do wykonywania swoich zadań. Ograniczenie przywilejów może zmniejszyć wpływ udanego exploita, uniemożliwiając atakującym eskalację uprawnień lub dostęp do wrażliwych danych [7].
6. Zastosuj dodatkowe środki bezpieczeństwa **
Rozważ wdrożenie dodatkowych środków bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe (2FA) dla całego zdalnego dostępu do BMC i KVM. Dodaje to dodatkową warstwę bezpieczeństwa, co utrudnia nieautoryzowanym użytkownikom uzyskanie dostępu [7].
7. Regularnie przejrzyj i aktualizuj konfiguracje bezpieczeństwa **
Regularnie przejrzyj konfiguracje bezpieczeństwa, aby upewnić się, że są aktualne i dostosowane do najlepszych praktyk. Obejmuje to sprawdzenie wszelkich nowych luk i szybkie stosowanie łat [4] [7].
Postępując zgodnie z tymi krokami, możesz znacznie zmniejszyć ryzyko związane z lukami w odległej funkcji KVM na stacji DGX A100. Zawsze upewnij się, że system jest aktualizowany o najnowsze łatki bezpieczeństwa i wdrażasz solidne praktyki bezpieczeństwa w celu ochrony przed potencjalnymi zagrożeniami.
Cytaty:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin :-nvidia-dgx-a100---january-2024
[2] https://www.itnews.com.au/news/critical-bugs-matched-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-mitigating-vulnerabities-in-nvidia-dgx-bmc-systems
[8] http://cdn.cnetcontent.com/2f/68/2f68888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin