NVIDIA DGX stacijas A100 mīkstinošās ievainojamības, kas saistītas ar attālo KVM funkciju NVIDIA DGX stacijā, ietver īpašas drošības problēmu risināšanu grimja pārvaldības kontrollerī (BMC) un nodrošināt, ka jūsu sistēma tiek atjaunināta ar jaunākajiem drošības ielāpiem. Šeit ir daži soļi un apsvērumi, lai palīdzētu mazināt šīs ievainojamības:
1. Atjauniniet programmaparatūru un programmatūru **
Pārliecinieties, vai jūsu DGX stacija A100 BMC tiek atjaunināta uz jaunāko programmaparatūras versiju. NVIDIA ir izlaidusi atjauninājumus, lai risinātu tādas kritiskas ievainojamības kā CVE-2023-31029, CVE-2023-31030 un CVE-2023-31024, kas ietekmē KVM dēmonu BMC [1] [2] [4]. Šie atjauninājumi ir ļoti svarīgi, lai novērstu kaudzes pārplūdes un atmiņas korupciju, kas varētu izraisīt patvaļīgu koda izpildi, pakalpojumu atteikumu, informācijas izpaušanu un datu viltošanu.
2. Ievietojiet tīkla segmentāciju **
Ierobežojiet piekļuvi BMC, ieviešot tīkla segmentēšanu. Tas nozīmē BMC tīkla izolēšanu no pārējās jūsu infrastruktūras, lai samazinātu uzbrukuma virsmu. Pārliecinieties, ka tikai nepieciešamajam personālam ir piekļuve BMC tīklam, un izmantojiet ugunsmūrus, lai ierobežotu ienākošo trafiku uz BMC [1] [4].
3. Izmantojiet drošus protokolus **
Pārliecinieties, ka visa attālā piekļuve KVM tiek veikta, izmantojot drošus protokolus. Tas ietver HTTP izmantošanu tīmekļa piekļuvei un SSH komandrindas piekļuvei. Izvairieties izmantot nedrošus protokolus, piemēram, HTTP vai Telnet, jo tie var atklāt sensitīvu informāciju [7].
4. Monitores aizdomīgu darbību **
Regulāri uzraugiet sistēmas žurnālus, lai uzzinātu jebkādas aizdomīgas darbības. Tas ietver neparastu pieteikšanās mēģinājumu uzraudzību, tīkla pakešu anomālijas vai negaidītas izmaiņas sistēmas uzvedībā. Ielaušanas atklāšanas sistēmas (ID) ieviešana var palīdzēt agrīni noteikt iespējamos draudus [7].
5. ierobežot privilēģijas **
Pārliecinieties, ka lietotājiem, kas piekļūst KVM funkcijai, ir vismazākās privilēģijas, lai veiktu savus uzdevumus. Privilēģiju ierobežošana var samazināt veiksmīgas izmantošanas ietekmi, neļaujot uzbrucējiem palielināt privilēģijas vai piekļūt sensitīviem datiem [7].
6. Pielietojiet papildu drošības pasākumus **
Apsveriet iespēju ieviest papildu drošības pasākumus, piemēram, divu faktoru autentifikāciju (2FA) visai attālajai piekļuvei BMC un KVM. Tas pievieno papildu drošības slāni, padarot grūtāk neatļautiem lietotājiem piekļuvi [7].
7. Regulāri pārskatiet un atjauniniet drošības konfigurācijas **
Regulāri pārskatiet savas drošības konfigurācijas, lai pārliecinātos, ka tās ir atjauninātas un saskaņotas ar labāko praksi. Tas ietver jebkādu jaunu ievainojamību pārbaudi un ielāpu lietošanu nekavējoties [4] [7].
Veicot šīs darbības, jūs varat ievērojami samazināt risku, kas saistīts ar ievainojamībām attālajā KVM funkcijā DGX stacijā A100. Vienmēr pārliecinieties, ka jūsu sistēma tiek atjaunināta ar jaunākajiem drošības ielāpiem un vai jūs īstenojat stabilu drošības praksi, lai aizsargātu pret iespējamiem draudiem.
Atsauces:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100 ---Janary-2024
.
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
,
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
.