การบรรเทาช่องโหว่ที่เกี่ยวข้องกับคุณสมบัติ KVM ระยะไกลในสถานี NVIDIA DGX A100 เกี่ยวข้องกับการแก้ไขปัญหาความปลอดภัยที่เฉพาะเจาะจงในคอนโทรลเลอร์การจัดการ baseboard (BMC) และทำให้มั่นใจว่าระบบของคุณได้รับการปรับปรุงด้วยแพตช์ความปลอดภัยล่าสุด นี่คือขั้นตอนและข้อควรพิจารณาบางประการเพื่อช่วยลดช่องโหว่เหล่านี้:
1. อัปเดตเฟิร์มแวร์และซอฟต์แวร์ **
ตรวจสอบให้แน่ใจว่าสถานี DGX A100 BMC ของคุณได้รับการอัปเดตเป็นเวอร์ชันเฟิร์มแวร์ล่าสุด NVIDIA ได้เปิดตัวการอัปเดตเพื่อจัดการกับช่องโหว่ที่สำคัญเช่น CVE-20123-31029, CVE-20123-31030 และ CVE-20123-31024 ซึ่งส่งผลกระทบต่อ KVM daemon ใน BMC [1] [2] [4] การอัปเดตเหล่านี้มีความสำคัญต่อการป้องกันการล้นของสแต็กและการทุจริตหน่วยความจำที่อาจนำไปสู่การดำเนินการรหัสโดยพลการปฏิเสธการบริการการเปิดเผยข้อมูลและการดัดแปลงข้อมูล
2. ใช้การแบ่งส่วนเครือข่าย **
จำกัด การเข้าถึง BMC โดยใช้การแบ่งส่วนเครือข่าย สิ่งนี้เกี่ยวข้องกับการแยกเครือข่าย BMC ออกจากส่วนที่เหลือของโครงสร้างพื้นฐานของคุณเพื่อลดพื้นผิวการโจมตี ตรวจสอบให้แน่ใจว่ามีเพียงบุคลากรที่จำเป็นเท่านั้นที่สามารถเข้าถึงเครือข่าย BMC และใช้ไฟร์วอลล์เพื่อ จำกัด การรับส่งข้อมูลที่เข้ามาใน BMC [1] [4]
3. ใช้โปรโตคอลที่ปลอดภัย **
ตรวจสอบให้แน่ใจว่าการเข้าถึง KVM จากระยะไกลทั้งหมดทำได้โดยใช้โปรโตคอลที่ปลอดภัย ซึ่งรวมถึงการใช้ HTTPS สำหรับการเข้าถึงบนเว็บและ SSH สำหรับการเข้าถึงบรรทัดคำสั่ง หลีกเลี่ยงการใช้โปรโตคอลที่ไม่ปลอดภัยเช่น HTTP หรือ Telnet เนื่องจากสามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้ [7]
4. ตรวจสอบกิจกรรมที่น่าสงสัย **
ตรวจสอบบันทึกระบบของคุณเป็นประจำสำหรับกิจกรรมที่น่าสงสัย ซึ่งรวมถึงการตรวจสอบความพยายามในการเข้าสู่ระบบที่ผิดปกติความผิดปกติของแพ็คเก็ตเครือข่ายหรือการเปลี่ยนแปลงที่ไม่คาดคิดในพฤติกรรมของระบบ การใช้ระบบตรวจจับการบุกรุก (IDS) สามารถช่วยระบุภัยคุกคามที่อาจเกิดขึ้นได้เร็ว [7]
5. จำกัด สิทธิ์ **
ตรวจสอบให้แน่ใจว่าผู้ใช้ที่เข้าถึงคุณสมบัติ KVM มีสิทธิ์น้อยที่สุดที่จำเป็นในการทำงานของพวกเขา การ จำกัด สิทธิพิเศษสามารถลดผลกระทบของการหาประโยชน์ที่ประสบความสำเร็จโดยการป้องกันผู้โจมตีจากสิทธิพิเศษที่เพิ่มขึ้นหรือเข้าถึงข้อมูลที่ละเอียดอ่อน [7]
6. ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม **
พิจารณาการใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเช่นการตรวจสอบสองปัจจัย (2FA) สำหรับการเข้าถึงระยะไกลทั้งหมดไปยัง BMC และ KVM สิ่งนี้จะเพิ่มเลเยอร์ความปลอดภัยพิเศษทำให้ยากขึ้นสำหรับผู้ใช้ที่ไม่ได้รับอนุญาตในการเข้าถึง [7]
7. ตรวจสอบและอัปเดตการกำหนดค่าความปลอดภัยเป็นประจำ **
ตรวจสอบการกำหนดค่าความปลอดภัยของคุณเป็นประจำเพื่อให้แน่ใจว่าพวกเขาทันสมัยและสอดคล้องกับแนวทางปฏิบัติที่ดีที่สุด ซึ่งรวมถึงการตรวจสอบช่องโหว่ใหม่ ๆ และการใช้แพตช์ทันที [4] [7]
โดยทำตามขั้นตอนเหล่านี้คุณสามารถลดความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ในคุณสมบัติ KVM ระยะไกลได้อย่างมากในสถานี DGX A100 ตรวจสอบให้แน่ใจเสมอว่าระบบของคุณได้รับการอัปเดตด้วยแพตช์ความปลอดภัยล่าสุดและคุณใช้แนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่งเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้น
การอ้างอิง:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-A100---janary-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firmware-alert-nvidia-tackles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-mitigating-vulnerabilitial-in-nvidia-dgx-bmc-systems
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---ferbeary-2024