NVIDIA semnalează multiple vulnerabilități ce permit executarea de coduri malițioase

NVIDIA a emis avize de securitate urgente care abordează mai multe vulnerabilități ale platformelor sale Hopper HGX 8-GPU High-Performance Computing (HMC), inclusiv o eroare cu severitate high (CVE-2024-0114, CVSS 8.1/10) care permite executarea neautorizată de cod, escaladarea privilegiilor și compromiterea datelor sistemice.

O altă vulnerabilitate cu severitate medie (CVE-2024-0141, CVSS 6.8/10) în layer-ul GPU vBIOS expune sistemele la atacuri de tip denial-of-service prin scrierea neacceptată în registru.

Aceste vulnerabilități au impact asupra componentelor critice de infrastructură din clusterele AI/ML, mediile de supercomputere și centrele de date ale întreprinderilor care utilizează arhitectura HGX de la NVIDIA.

HGX Management Controller (HMC), care asigură alocarea resurselor GPU și actualizările firmware pe noduri multi-GPU, conține o eroare de ocolire a autentificării.

Avizul NVIDIA confirmă că lanțurile de exploit ar putea persista în timpul repornirii datorită nivelului de persistență al HMC, care stochează datele de configurare în memoria flash nevolatilă.

Vulnerabilitatea GPU vBIOS permite utilizatorilor cu acces la GPU, cum ar fi utilizatorii cloud sau volumele de lucru containerizate, să scrie în registre hardware restricționate.

Acest lucru destabilizează subsistemul de gestionare a energiei al GPU (tranzițiile PSTATE) și controllerele de memorie (GDDR6X ECC handlers), declanșând erori sistemice.

Exploatările reușite forțează GPU-urile să nu mai răspundă, fiind necesară resetarea fizică sau resetarea la nivel BMC pentru recuperare.

Administratorii trebuie să:

izoleze interfețele BMC;
aplice actualizări ale firmware-ului;
verifice permisiunile utilizatorilor (Tenant Permissions).

Răspunsul NVIDIA se aliniază framework-ului său Secure Firmware Update, care semnează criptografic imaginile firmware utilizând key-uri ED25519 pentru a preveni manipularea.

Sursă: https://cybersecuritynews.com/nvidia-multiple-vulnerabilities-code/

NVIDIA semnalează multiple vulnerabilități ce permit executarea de coduri malițioase

Festivitatea de premiere a participanților la exercițiul CyberMAN25

Exercițiul CyberMAN25

Locked Shields 2025 – exercițiu NATO de apărare cibernetică

Exercițiul NATO de apărare cibernetică Cyber Coalition 2024

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

Vulnerabilitate critică identificată în Juniper Networks PTX

Trend Micro avertizează asupra unor vulnerabilități în Apex One

PoC lansat pentru o vulnerabilitate din Windows

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

Vulnerabilitate critică identificată în Juniper Networks PTX

Trend Micro avertizează asupra unor vulnerabilități în Apex One

PoC lansat pentru o vulnerabilitate din Windows

Ai mai putea citi