En el contexto del avance tecnológico de la Inteligencia Artificial, se han descubierto múltiples vulnerabilidades en el sistema de NVIDIA DGX H100. Estas vulnerabilidades representan alertas en la seguridad.
Las vulnerabilidades fueron detectadas en el controlador de gestión de la placa base (BMC), que es una pequeña computadora que maneja el hardware del sistema DGX H100. Estas vulnerabilidades podrian ser explotadas por atacantes para obtener aceso no autorizado o tomar control del sistema.
1. CVE–2023–25528 (CVSS: 8.8): mediante la utilización de un plugin en un servidor web defectuoso puede causar desbordamiento de solicitudes, esto conllevaría a la ejecución de código arbitrario, manipulación de datos, denegación de servicio entre otros.
2. CVE–2023–25533 y CVE–2023–31009 (CVSS: 8.3 para ambos): la interfaz web de usuario y el servicio REST, respectivamente, pueden ser vulnerables a validaciones de entradas erróneas, lo que podría ocasionar fugas de información, ejecución de código o incluso escalada de privilegios.
3. CVE–2023–25529 y CVE–2023–25530 (CVSS: 8.0 para ambos): tanto el daemon “The Host KVM” como el servicio KVM como tal, presentan amenazas donde un atacante podría exponer datos, manipularlos o aprovecharlos para escalamiento de privilegios.
4. CVE–2023–25527 (CVSS: 7.8): un atacante local podría explotar el Daemon de un host KVM para dañar la memoria del kernel, las consecuencias de este hecho resulta en la denegación de servicio, divulgación de información e incluso ejecución de código arbitrario en el kernel.
5. CVE–2023–25531, CVE–2023–31008 y CVE–2023–25534 (con puntuaciones CVSS que oscilan entre 7,6 y 5,7): las vulnerabilidades IPMI podrían ocasionar diversos problemas de seguridad, desde una validación de entrada insuficiente hasta fugas de información y la posibilidad de ejecución de código.
6. CVE–2023–31015, CVE–2023–31012 y CVE–2023–31013 (puntuaciones CVSS entre 6,6 y 6,1): las vulnerabilidades del servicio REST, representa riesgos relacionados con la incorrecta autenticación o validación de entradas, lo que podría conducir a la divulgación de información o a una escalada de privilegios.
7. CVE–2023–25532 (CVSS: 6.5): este fallo en el protocolo IPMI podría llevar únicamente a la divulgación de información.
8. CVE–2023–31011 (CVSS: 5.2): otra vulnerabilidad en el servicio REST plantea la amenaza de un escalamiento de privilegios y la divulgación de información.
Versiones Afectadas.
Anteriores al 23.08.18.
Solución.
Parche de seguridad en la versión 23.08.18.
Recomendacion.
Si utiliza una versión anterior a la 23.08.18 del sistema DGX H100, es imperativo que actualice a la versión más reciente, ya que estas vulnerabilidades no afectan a la última versión. Las actualizaciones suelen incluir parches de seguridad que corrigen estas vulnerabilidades.