Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan al firmware NVIDIA DGX-1, que permitirían a un atacante realizar omisión de autenticación, denegación de servicio (DoS), divulgación de información, entre otros.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta” y 2 (dos) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-0209, de severidad “Alta”, con puntuación asignada de 8.2. Esta vulnerabilidad se debe a una falla en la autenticación del código ejecutado por SSA en el módulo Uncore PEI de NVIDIA DGX-1 SBIOS. Esto permitiría a un atacante realizar omisión de autenticación, evadir control SecureBoot, escalamiento de privilegios y divulgación de información, ejecución de código arbitrario y denegación de servicio (DoS) en el sistema afectado.
- CVE-2023-25505, de severidad “Alta”, con puntuación asignada de 7.8. Esta vulnerabilidad del tipo buffer overflow se debe a una falla de gestión de memoria en el controlador IPMI del AMI MegaRAC BMC de NVIDIA DGX-1 BMC. Esto permitiría a un atacante con privilegios realizar divulgación de información y ejecución de código arbitrario, e incluso denegación de servicios (DoS) en el sistema afectado.
- CVE-2023-25506, de severidad “Alta”, con puntuación asignada de 7.5. Esta vulnerabilidad del tipo heap-based buffer overflow se debe a una falla de gestión de memoria en Ofbd del AMI SBIOS de NVIDIA DGX-1. Esto permitiría a un atacante con privilegios obtener acceso y posteriormente realizar ejecución de código, escalamiento de privilegios, denegación de servicio (DoS) y divulgación de información del sistema afectado.
Para acceder al listado completo de vulnerabilidades ingrese aquí.
Los productos afectados son:
- NVIDIA DGX-1 Servers, firmware BMC versiones anteriores a 3.39.3.
- NVIDIA DGX-1 Servers, firmware SBIOS versiones anteriores a S2W_3A13.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://securityonline.info/nvidia-fixes-security-vulnerabilities-in-dgx-1-firmware/
- https://nvidia.custhelp.com/app/answers/detail/a_id/5458
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0209
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25505
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25506
- https://nvid.nvidia.com/dashboard/