Firma NVIDIA kilka dni temu wydała poprawkę dotyczącą krytycznego błędu w swojej linii wysokowydajnych serwerów DGX, który mógłby otworzyć drzwi dla zdalnego atakującego. Podatność pozwala na przejęcie kontroli i dostęp do poufnych danych w systemach zwykle obsługiwanych przez rządy i najbogatsze firmy technologiczne Świata. One bowiem korzystają z ogromnej mocy obliczeniowej serwerów DGX niezbędnej do zaawansowanych algorytmów Machine Learning.
W sumie NVIDIA wydała dziewięć poprawek, z których każda naprawia błędy w oprogramowaniu sprzętowym używanym przez systemy wysokowydajnych komputerów DGX (HPC), które są wykorzystywane do zadań sztucznej inteligencji, uczenia maszynowego i modelowania ogromnych zbiorów danych. Wszystkie wady są powiązane z własnym oprogramowaniem układowym (firmware), które działa na kontrolerze zarządzania płytą główną DGX AMI (BMC).
Czy podatności są poważne?
Ataki mogą być zdalne (w przypadku połączenia internetowego) lub jeśli przestępcy zdobędą uprawnienia root jednego z fizycznych serwerów i uzyskają dostęp do BMC, mogą użyć sieci OOB do kompromitacji całego centrum danych. Innymi słowy, jeśli przy tej podatności atakujący otrzyma dostęp do interfejsu OOB (out of band) fizycznego serwera, to wiążę się to z całkowitą kompromitacją sieci.
Biorąc pod uwagę zadania obliczeniowe o wysokiej ważności, zwykle wykonywane w systemach HPC, odkrywca podatności zauważył, że hacker wykorzystujący tę lukę może zmodyfikować dane i zmusić modele AI do dokonywania błędnych obliczeń i w ten sposób zakłamać wyniki. Taki przypadek byłby najtrudniejsze do weryfikacji i najbardziej destrukcyjny.
Ważnym faktem jest to, co oznajmiła użytkownikom NVIDIA. Mianowicie łatka naprawiająca jeden poważny błąd (CVE ‑ 2020‑11487), szczególnie wpływająca na linię serwerów DGX A100, będzie dostępna dopiero w drugim kwartale 2021 r. Wszystko dlatego, że luka jest powiązana z zakodowanym na stałe w firmware kluczem RSA 1024, którego nie da się naprawić prostą aktualizacją. Kradzież tego klucza może prowadzić do nieautoryzowanego dostępu do danych. Dostępna jest już poprawka dla tego samego błędu wpływającego na inne systemy DGX (DGX-1, DGX-2).
„Aby złagodzić możliwości związane z cyberatakami, należy ograniczyć łączność z BMC, w tym z interfejsem WWW” – twierdzi Nvidia.
Podatności pokazują luki w architekturze AI
Błędy zostały ujawnione 28 października br. i zaprezentowane w ramach prezentacji „Vulnerabilities of Machine Learning Infrastructure” na CodeBlue 2020, konferencji poświęconej bezpieczeństwu w Tokio w Japonii.
Podczas sesji Gordeychik zademonstrował, jak serwery GPU NVIDIA DGX używane w platformach uczenia maszynowego (Pytorch, Keras i Tensorflow), potokach przetwarzania danych i aplikacjach, takich jak obrazowanie medyczne i systemy CCTV oparte na rozpoznawaniu twarzy – mogą być manipulowane.
Specjalista zauważył, że prawdopodobnie wpłynie to również na innych dostawców, ponieważ NVIDIA korzysta z płyty BMC firmy Quanta Computers, która jest oparta na oprogramowaniu AMI. Według nieoficjalnych źródeł NVIDII z tego firmware korzystają również:
- IBM (BMC Advanced System Management)
- Lenovo (moduł zarządzania ThinkServer)
- Hewlett-Packard Enterprise Megarac
- Mikrobits (Mikrotik)
- Netapp
- ASRockRack IPMI
- ASUS ASMB9-iKVM
- DEPO Computers
- Płyta główna TYAN
- Płyty główne Gigabyte IPMI
- Gooxi BMC
Jakie CVE
Jeśli chodzi o aktualne łaty wydane przez firmę NVIDIA w środę, najpoważniejsze są sklasyfikowane jako CVE ‑ 2020‑11483 i są oceniane jako krytyczne. Cytując fragment biuletynu zabezpieczeń: „Serwery NVIDIA DGX zawierają lukę w oprogramowaniu sprzętowym AMI BMC, w której oprogramowanie układowe zawiera zakodowane na stałe dane uwierzytelniające, co może prowadzić do podniesienia uprawnień lub ujawnienia informacji”.
Wrażliwe modele serwerów NVIDIA DGX, których to dotyczy, obejmują DGX-1, DGX-2 i DGX A100.
Cztery z błędów NVIDIA zostały ocenione jako bardzo dotkliwe (CVE ‑ 2020‑11484, CVE ‑ 2020‑11487, CVE ‑ 2020‑11485, CVE ‑ 2020‑11486), a najpoważniejszy z czterech został zidentyfikowany jako CVE ‑ 2020‑11484 – „Serwery NVIDIA DGX zawierają lukę w oprogramowaniu AMI BMC, gdzie osoba atakująca z uprawnieniami administratora może uzyskać skrót hasła użytkownika BMC / IPMI, co prowadzi do ujawnienia wszystkich utajonych informacji„ – napisał producent chipów.
Trzy inne załatane luki w zabezpieczeniach zostały ocenione jako średnie, a jedna jako podatność niskiego ryzyka.