La mitigación de las vulnerabilidades asociadas con la función KVM remota en la estación A100 NVIDIA DGX implica abordar problemas de seguridad específicos en el Controlador de administración de placas (BMC) y garantizar que su sistema se actualice con los últimos parches de seguridad. Aquí hay algunos pasos y consideraciones para ayudar a mitigar estas vulnerabilidades:
1. Actualizar firmware y software **
Asegúrese de que su estación DGX A100 BMC se actualice a la última versión de firmware. NVIDIA ha publicado actualizaciones para abordar vulnerabilidades críticas como CVE-2023-31029, CVE-2023-31030 y CVE-2023-31024, que afectan el demonio KVM en el BMC [1] [2] [4]. Estas actualizaciones son cruciales para prevenir los desbordamientos de pila y la corrupción de la memoria que podrían conducir a la ejecución del código arbitraria, la denegación de servicio, la divulgación de información y la manipulación de datos.
2. Implementar la segmentación de red **
Limite el acceso al BMC implementando la segmentación de red. Esto implica aislar la red BMC del resto de su infraestructura para reducir la superficie de ataque. Asegúrese de que solo el personal necesario tenga acceso a la red BMC y use los firewalls para restringir el tráfico entrante al BMC [1] [4].
3. Use protocolos seguros **
Asegúrese de que todo el acceso remoto al KVM se realice utilizando protocolos seguros. Esto incluye el uso de HTTPS para acceso basado en la web y SSH para el acceso de línea de comandos. Evite usar protocolos inseguros como HTTP o Telnet, ya que pueden exponer información confidencial [7].
4. Monitor para actividades sospechosas **
Monitoree regularmente los registros de su sistema para cualquier actividad sospechosa. Esto incluye el monitoreo de intentos de inicio de sesión inusuales, anomalías de paquetes de red o cambios inesperados en el comportamiento del sistema. Implementar un sistema de detección de intrusos (IDS) puede ayudar a identificar posibles amenazas temprano [7].
5. Limitar privilegios **
Asegúrese de que los usuarios que accedan a la función KVM tengan los menos privilegios necesarios para realizar sus tareas. Los privilegios limitantes pueden reducir el impacto de una exploit exitosa al evitar que los atacantes aumenten los privilegios o accedan a datos confidenciales [7].
6. Aplicar medidas de seguridad adicionales **
Considere implementar medidas de seguridad adicionales, como la autenticación de dos factores (2FA) para todo el acceso remoto a BMC y KVM. Esto agrega una capa adicional de seguridad, lo que dificulta que los usuarios no autorizados obtengan acceso [7].
7. Revise y actualice regularmente configuraciones de seguridad **
Revise regularmente sus configuraciones de seguridad para asegurarse de que estén actualizadas y alineadas con las mejores prácticas. Esto incluye verificar cualquier nueva vulnerabilidad y aplicar parches de inmediato [4] [7].
Siguiendo estos pasos, puede reducir significativamente el riesgo asociado con las vulnerabilidades en la función KVM remota en la estación DGX A100. Siempre asegúrese de que su sistema se actualice con los últimos parches de seguridad y que implementa prácticas de seguridad sólidas para proteger contra posibles amenazas.
Citas:
[1] https://nvidia.custthelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100----january-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-mitigating-vulnerability-in-nvidia-dgx-bmc-systems
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custthelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---februarte-2024