NVIDIA đã phát hành bản cập nhật quan trọng để khắc phục hai lỗ hổng bảo mật rên Hopper HGX 8-GPU HMC, trong đó có một lỗ hổng nguy hiểm có thể dẫn đến thực thi mã trái phép, leo thang đặc quyền, và giả mạo dữ liệu.
CVE-2024-0114: Lỗ hổng nghiêm trọng đe dọa hệ thống
Lỗ hổng nguy hiểm nhất được gán mã CVE-2024-0114 (điểm CVSS 8,1), tồn tại trong HGX Management Controller (HMC). Kẻ tấn công có quyền quản trị trên Baseboard Management Controller (BMC) có thể khai thác lỗ hổng này để chiếm quyền điều khiển HMC, gây ra các hậu quả nghiêm trọng như:
- Thực thi mã độc
- Tấn công từ chối dịch vụ (DoS)
- Leo thang đặc quyền
- Tiết lộ thông tin nhạy cảm
- Giả mạo và thay đổi dữ liệu hệ thống
CVE-2024-0141: Lỗ hổng trung bình ảnh hưởng đến GPU VBIOS
Lỗ hổng thứ hai là CVE-2024-0141 (CVSS 6,8), nằm trong GPU VBIOS. Đây là lỗ hổng mức độ trung bình, có thể bị khai thác bởi người dùng có quyền truy cập GPU tenant-level để ghi vào registry không được hỗ trợ, dẫn đến từ chối dịch vụ.
Những phiên bản firmware bị ảnh hưởng
Các lỗ hổng này tác động đến nhiều phiên bản firmware NVIDIA HGX, bao gồm:
- HGX-22.10-1-rc67 (1.5.0)
- HGX-22.10-1-rc63 (1.4.0)
- HGX-22.10-1-rc59 (1.3.2)
- HGX-22.10-1-rc57 (1.3.0/1.3.1)
Để bảo vệ hệ thống trước các nguy cơ bảo mật nghiêm trọng, NVIDIA khuyến cáo người dùng cập nhật ngay firmware HGX phiên bản 1.6.0 hoặc mới hơn. Phiên bản này đã vá toàn bộ các lỗ hổng và giúp ngăn chặn nguy cơ bị tấn công.
Theo Security Online
Nguồn WhiteHat
