Sicherheitslücken: Nvidia veröffentlicht BMC-Firmware-Updates für DGX-Server
Aus der AMI BMC-Firmware für Nvidias Deep-Learning-Server DGX-1, DGX-2 und DGX A100 wurden neun Sicherheitslücken entfernt, von denen eine als kritisch gilt.
(Bild: Gorodenkoff / Shutterstock.com)
Updates für die AMI Baseboard Management Controller (BMC)-Firmware für Nvidias vorrangig fürs Deep Learning zum Einsatz kommende GDX-Server DGX-1, DGX-2 und DGX A100 beseitigen insgesamt neun Sicherheitslücken. Eine gilt als kritisch; von fünf weiteren geht ein hohes, von zweien ein mittleres und von einer ein geringes Sicherheitsrisiko aus.
Der Missbrauch der Lücken setzt eine Netzwerkverbindung des Angreifers zum BMC des jeweiligen Servers voraus. Mögliche Konsequenzen eines erfolgreichen Angriffs können die Ausweitung von Zugriffsrechten, das Auslesen von Daten (Information Disclosure) sowie Codeausführung aus der Ferne sein.
Abgesicherte Firmware verfügbar
Weitere Details zu den Sicherheitslücken sowie zu verwundbaren und abgesicherten Firmware-Versionen sind Nvidias Security Bulletin zu den Schwachstellen beziehungsweise der Abbildung in dieser Meldung zu entnehmen. Vor dem Einspielen der Updates sind unter Umständen zunächst Aktualisierungen des jeweiligen Firmware Update-Containers notwendig: DGX-1-Server benötigen ein Upgrade auf nvfw-dgx1:20.10.2, DGX-2-Server ein Upgrade auf nvfw-dgx2:20.10.
Die Firmware-Updates selbst können über das NVIDIA Enterprise Support Portal bezogen werden. Nvidia empfiehlt zur Risikominimierung außerdem, die Zugriffsmöglichkeiten auf den BMC inklusive Webinterface auf vertrauenswürdige Netzwerke einzugrenzen.
(Bild: nvidia.custhelp.com)
Wohl noch weitere Hersteller betroffen
Die Sicherheitsforscher des Projekts SCADAStrangeLove, die die neun Sicherheitslücken entdeckt haben, gehen neben Nvidia von weiteren betroffenen Herstellern aus, in deren Systemen die Mikrocontroller von AMI nebst zugehörigem löcherigem Firmware-Code zum Einsatz kommen. In einem Eintrag zu ihren Forschungsergebnissen im SCADAStrangeLove-Blog nennen sie konkret die folgenden Hersteller und Produkte:
- ASRockRack IPMI
- ASUS ASMB9-iKVM
- DEPO Computers
- Gigabyte IPMI Motherboards
- Gooxi BMC
- Hewlett Packard Enterprise Megarac
- IBM (BMC Advanced System Management)
- Lenovo (ThinkServer Management Module)
- Mikrobits (Mikrotik)
- NetappQuanta Computer Inc.
- TYAN Motherboard
Auf Nachfrage von SecurityWeek bestätigte AMI dies indirekt: Das Unternehmen sei im Rahmen eines Firmware-Audits durch einen Drittanbieter schon auf die Sicherheitslücken aufmerksam gemacht worden, bevor Nvidia einen entsprechenden Hinweis gegeben habe. Patches seien bereits entwickelt und an die (allerdings nicht näher bezeichneten) Kunden verteilt worden.
(ovw)
