Пом'якшення вразливих місць, пов'язаних з віддаленою функцією KVM на станції NVIDIA DGX A100, передбачає вирішення конкретних проблем безпеки в контролері управління плінтусами (BMC) та забезпечення оновлення вашої системи з останніми патчами безпеки. Ось кілька кроків та міркувань, які допоможуть пом'якшити ці вразливості:
1. Оновлення прошивки та програмного забезпечення **
Переконайтесь, що ваша станція DGX A100 BMC оновлюється до останньої версії прошивки. NVIDIA оприлюднила оновлення для вирішення критичних вразливостей, таких як CVE-20123-31029, CVE-20123-31030 та CVE-20123-31024, які впливають на демон KVM у BMC [1] [2] [4]. Ці оновлення мають вирішальне значення для запобігання переповненню стека та пошкодження пам'яті, що може призвести до довільного виконання коду, відмови в службі, розкриття інформації та підробки даних.
2. Реалізувати сегментацію мережі **
Обмежувати доступ до BMC шляхом реалізації сегментації мережі. Це передбачає ізоляцію мережі BMC з решти вашої інфраструктури для зменшення поверхні атаки. Переконайтесь, що лише необхідний персонал має доступ до мережі BMC та використовуйте брандмауери для обмеження вхідного трафіку до BMC [1] [4].
3. Використовуйте захищені протоколи **
Переконайтесь, що весь віддалений доступ до KVM здійснюється за допомогою захищених протоколів. Це включає використання HTTPS для веб-доступу та SSH для доступу до командного рядка. Уникайте використання небезпечних протоколів, таких як HTTP або Telnet, оскільки вони можуть розкрити конфіденційну інформацію [7].
4. Монітор на підозрілу діяльність **
Регулярно стежте за своїми системними журналами на предмет будь -якої підозрілої діяльності. Сюди входить моніторинг незвичайних спроб входу, аномалії мережевих пакетів або несподівані зміни в поведінці системи. Впровадження системи виявлення вторгнень (ІД) може допомогти визначити потенційні загрози на початку [7].
5. Обмеження привілеїв **
Переконайтесь, що користувачі, які отримують доступ до функції KVM, мають найменші привілеї, необхідні для виконання своїх завдань. Обмеження привілеїв може зменшити вплив успішного експлуатації, запобігаючи зловмисникам зростати привілеями або отримати доступ до конфіденційних даних [7].
6. Застосовуйте додаткові заходи безпеки **
Подумайте про впровадження додаткових заходів безпеки, таких як двофакторна автентифікація (2FA) для всього віддаленого доступу до BMC та KVM. Це додає додаткового рівня безпеки, що ускладнює несанкціонований користувачам отримати доступ [7].
7. Регулярно переглядати та оновлювати конфігурації безпеки **
Регулярно переглядайте свої конфігурації безпеки, щоб переконатися, що вони оновлені та узгоджуються з найкращими практиками. Сюди входить перевірка будь -яких нових вразливостей та негайно застосування патчів [4] [7].
Дотримуючись цих кроків, ви можете значно зменшити ризик, пов'язаний з вразливістю у віддаленій функції KVM на станції DGX A100. Завжди переконайтеся, що ваша система оновлюється останніми патчами безпеки та ви впроваджуєте надійну практику безпеки для захисту від потенційних загроз.
Цитати:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-MITIGATION-VULNERASSIONS-In-NVIDIA-DGX-BMC-Systems
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---february-2024