Actualizaciones de seguridad para producto NVIDIA

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan al firmware NVIDIA DGX-1, que permitirían a un atacante realizar omisión de autenticación, denegación de servicio (DoS), divulgación de información, entre otros. 

Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta” y 2 (dos) de severidad “Media”. Las principales se detallan a continuación: 

• CVE-2023-0209, de severidad “Alta”, con puntuación asignada de 8.2. Esta vulnerabilidad se debe a una falla en la autenticación del código ejecutado por SSA en el módulo Uncore PEI de NVIDIA DGX-1 SBIOS. Esto permitiría a un atacante realizar omisión de autenticación, evadir control SecureBoot, escalamiento de privilegios y divulgación de información, ejecución de código arbitrario y denegación de servicio (DoS) en el sistema afectado. 

• CVE-2023-25505, de severidad “Alta”, con puntuación asignada de 7.8. Esta vulnerabilidad del tipo buffer overflow se debe a una falla de gestión de memoria en el controlador IPMI del AMI MegaRAC BMC de NVIDIA DGX-1 BMC. Esto permitiría a un atacante con privilegios realizar divulgación de información y ejecución de código arbitrario, e incluso denegación de servicios (DoS) en el sistema afectado.   
•  CVE-2023-25506, de severidad “Alta”, con puntuación asignada de 7.5. Esta vulnerabilidad del tipo heap-based buffer overflow se debe a una falla de gestión de memoria en Ofbd del AMI SBIOS de NVIDIA DGX-1. Esto permitiría a un atacante con privilegios obtener acceso y posteriormente realizar ejecución de código, escalamiento de privilegios, denegación de servicio (DoS) y divulgación de información del sistema afectado. 

Para acceder al listado completo de vulnerabilidades ingrese aquí. 

Los productos afectados son:  

• NVIDIA DGX-1 Servers, firmware BMC versiones anteriores a 3.39.3. 

• NVIDIA DGX-1 Servers, firmware SBIOS versiones anteriores a S2W_3A13. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

• https://nvid.nvidia.com/dashboard/ 

Referencias: 

• https://securityonline.info/nvidia-fixes-security-vulnerabilities-in-dgx-1-firmware/ 
• https://nvidia.custhelp.com/app/answers/detail/a_id/5458 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0209 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25505 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25506 
• https://nvid.nvidia.com/dashboard/