Смягчение уязвимостей, связанных с удаленной функцией KVM на станции NVIDIA DGX A100, включает решение конкретных проблем безопасности в контроллере управления основной платкой (BMC) и обеспечение обновления вашей системы с помощью последних исправлений безопасности. Вот несколько шагов и соображений, чтобы помочь смягчить эти уязвимости:
1. Обновление прошивки и программного обеспечения **
Убедитесь, что ваш DGX Station A100 BMC обновляется до последней версии прошивки. Nvidia выпустила обновления для решения критических уязвимостей, таких как CVE-2023-31029, CVE-2023-31030 и CVE-2023-31024, которые влияют на демон KVM в BMC [1] [2] [4]. Эти обновления имеют решающее значение для предотвращения переполнений стека и повреждения памяти, что может привести к произвольному выполнению кода, отказе в обслуживании, раскрытии информации и фальсификации данных.
2. Реализация сегментации сети **
Ограничьте доступ к BMC путем реализации сегментации сети. Это включает в себя выделение сети BMC от остальной части вашей инфраструктуры, чтобы уменьшить поверхность атаки. Убедитесь, что только необходимый персонал имеет доступ к сети BMC и используйте брандмауэры, чтобы ограничить входящий трафик BMC [1] [4].
3. Используйте безопасные протоколы **
Убедитесь, что весь удаленный доступ к KVM выполняется с использованием безопасных протоколов. Это включает в себя использование HTTPS для веб-доступа и SSH для доступа командной строки. Избегайте использования небезопасных протоколов, таких как HTTP или Telnet, поскольку они могут подвергать конфиденциальную информацию [7].
4. Мониторинг на наличие подозрительной активности **
Регулярно следите за журналами системы на предмет любых подозрительных действий. Это включает в себя мониторинг необычных попыток входа в систему, аномалий сетевого пакета или неожиданных изменений в поведении системы. Реализация системы обнаружения вторжений (IDS) может помочь в раннем выявлении потенциальных угроз [7].
5. Ограничьте привилегии **
Убедитесь, что пользователи, получающие доступ к функции KVM, имеют наименее привилегии, необходимые для выполнения своих задач. Ограничение привилегий может уменьшить влияние успешного эксплойта, не позволяя злоумышленникам эскалация привилегий или получить доступ к конфиденциальным данным [7].
6. Применить дополнительные меры безопасности **
Рассмотрим реализацию дополнительных мер безопасности, таких как двухфакторная аутентификация (2FA) для всего удаленного доступа к BMC и KVM. Это добавляет дополнительный уровень безопасности, что затрудняет посторонних пользователей, чтобы получить доступ [7].
7. Регулярно просмотреть и обновлять конфигурации безопасности **
Регулярно просматривайте свои конфигурации безопасности, чтобы убедиться, что они актуальны и соответствуют лучшим практикам. Это включает в себя проверку на любые новые уязвимости и быстрое применение патчей [4] [7].
Следуя этим этапам, вы можете значительно снизить риск, связанный с уязвимостью в удаленной функции KVM на станции DGX A100. Всегда убедитесь, что ваша система обновляется с помощью новейших исправлений безопасности и что вы реализуете надежные методы безопасности для защиты от потенциальных угроз.
Цитаты:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-mitigating-vulnerabilities in-nvidia-dgx-bmc-systems
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800--februaruary-2024