NVIDIA corrige un error crítico en servidores de alto rendimiento - Calendae | Informática, Electrónica, CMS, Ciberseguridad

NVIDIA corrige un error crítico en servidores de alto rendimiento

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y esta vez te voy a contar sobre NVIDIA corrige un error crítico en servidores de alto rendimiento

NVIDIA corrige un error crítico en servidores de alto rendimiento

NVIDIA dijo que un error de divulgación de información de alta gravedad que afectó a su línea de servidores DGX A100 no se solucionaría hasta principios de 2021.

NVIDIA ha lanzado un parche para un error crítico en su línea de alto rendimiento de servidores DGX que podría abrir la puerta para que un atacante remoto tome el control y acceda a datos confidenciales en sistemas generalmente administrados por gobiernos y compañías Fortune-100.

En total, NVIDIA ha publicado nueve parches, cada uno resuelve fallas en el firmware utilizado por los sistemas de computación de alto rendimiento (HPC) DGX, que se utilizan para tareas de inteligencia artificial (IA) intensivas en procesadores, aprendizaje automático y modelado de datos. Todas las fallas están relacionadas con su firmware que se ejecuta en su controlador de administración de placa base (BMC) DGX AMI, el cerebro detrás de los servidores del servicio de monitoreo remoto.

«Los ataques pueden ser remotos (en caso de conectividad a Internet), o si los atacantes pueden rootear una de las cajas y obtener acceso al BMC, pueden usar la red de administración fuera de banda para PWN todo el centro de datos», escribió el investigador Sergey Gordeychik, a quien se le atribuye el mérito de encontrar los errores. «Si tienes acceso a OOB, el juego se acaba para el gol».

Dados los trabajos informáticos de alto riesgo que normalmente se ejecutan en sistemas HPC, el investigador señaló que un adversario que explote la falla podría «envenenar los datos y obligar a los modelos a hacer predicciones incorrectas o infectar un modelo de IA».

NVIDIA ha dicho que un parche que soluciona un error de alta gravedad (CVE – 2020‑11487), que tiene un impacto específico en su línea de servidores DGX A100, no estará disponible hasta el segundo trimestre de 2021. La vulnerabilidad está vinculada a un Clave RSA 1024 codificada de forma rígida con dígitos débiles que podrían conducir a la divulgación de información. Existe una solución para el mismo error (CVE – 2020‑11487), que afecta a otros sistemas DGX (DGX-1, DGX-2).

«Para mitigar los problemas de seguridad», escribió NVIDIA, «limite la conectividad al BMC, incluida la interfaz de usuario web, a las redes de administración confiables».

«Encontramos varios servidores vulnerables Online, lo que provocó nuestra búsqueda», dijo el investigador a Threatpost. Los errores se revelaron el miércoles y se enviaron como parte de un presentación «Vulnerabilidades de la infraestructura de aprendizaje automático» a CodeBlue 2020, una conferencia de seguridad en Tokio, Japón.

Durante la sesión, Gordeychik demostró cómo los servidores de GPU NVIDIA DGX utilizados en marcos de aprendizaje automático (Pytorch, Keras y Tensorflow), tuberías de procesamiento de datos y aplicaciones como imágenes médicas y CCTV con reconocimiento facial, podrían ser manipulados por un adversario.

El investigador señaló que otros proveedores también pueden estar interesados. «Lo interesante aquí es la cadena de suministro», dijo. “NVIDIA utiliza una tarjeta BMC de Quanta Computers, basada en el software AMI. Entonces para resolver los problemas [NVIDIA] tuvo que presionar a varios proveedores para conseguir una solución ”.

Estos proveedores incluyen:

  • IBM (Gestión avanzada del sistema BMC)
  • Lenovo (módulo de gestión ThinkServer)
  • Hewlett-Packard Enterprise Megarac
  • Mikrobits (Mikrotik)
  • Netapp
  • ASRockRack IPMI
  • ASUS ASMB9-iKVM
  • Computadora DEPO
  • Placa base TYAN
  • Placas base Gigabyte IPMI
  • Gooxi BMC

En cuanto a los parches reales lanzados por NVIDIA el miércoles, el más grave se registra como CVE – 2020-11483 y está clasificado como crítico. «Los servidores NVIDIA DGX contienen una vulnerabilidad en el firmware BMC AMI donde el firmware incluye credenciales codificadas, lo que puede llevar a la elevación de privilegios o la divulgación de información», según el boletín de seguridad.

Los modelos de servidor NVIDIA DGX vulnerables afectados incluyen DGX-1, DGX-2 y DGX A100.

Cuatro de los errores de NVIDIA se clasificaron como de gravedad alta (CVE – 2020‑11484, CVE – 2020‑11487, CVE – 2020‑11485, CVE – 2020‑11486) y el más grave de los cuatro se supervisó como CVE – 2020‑11484. «Los servidores NVIDIA DGX contienen una vulnerabilidad en el firmware AMI de BMC donde un atacante con privilegios administrativos puede obtener el hash de la contraseña de usuario de BMC / IPMI, lo que puede conducir a la divulgación de información», escribió el fabricante del chip.

Tres de las otras vulnerabilidades reparadas se clasificaron como de gravedad media y una baja.

«Los piratas informáticos son muy conscientes de los problemas relacionados con la infraestructura de IA y ML y utilizan la infraestructura de aprendizaje automático en los ataques», dijo Gordeychik.

.

Deberías compartir en tu Facebook para que tus colegas lo sepan

??? ? ? ???

Comparte