NVIDIA, iki kritik güvenlik açığını ele alan ürün yazılımı güncellemelerini derhal yüklemeye Hopper HGX 8-GPU Yüksek Performanslı Bilgi İşlem (HMC) sistemlerini kullanan müşterileri çağıran acil bir güvenlik bültenini yayınladı.
28 Şubat 2025’te piyasaya sürülen Yamalar, saldırganların kötü amaçlı kod yürütmesine, ayrıcalıkları artırmasına veya hizmet reddi (DOS) saldırıları yoluyla GPU altyapısını saklamasına izin verebilecek kusurları hedefliyor.
Tavsiyeler, bu üst düzey hızlandırıcılara dayanan AI veri merkezleri, bulut platformları ve bilimsel bilgi işlem ortamları için riskleri vurgulamaktadır.
CVE-2024-0114: BMC Exploit (CVSS 8.1) aracılığıyla sistemik uzlaşma
CVE-2024-0114 olarak izlenen en yüksek riskli güvenlik açığı, GPU filo işlemlerini denetleyen kritik bir bileşen olan Hopper HGX Yönetim Denetleyicisi’nde (HMC) bulunur.
Bir sistemin süpürgelik yönetim denetleyicisine (BMC) idari erişimi olan saldırganlar, HMC yönetici ayrıcalıkları elde etmek için bu kusurdan yararlanabilir. NVIDIA’nın danışmanlığı, başarılı bir sömürünün mümkün olduğu konusunda uyarıyor:
- GPU’larda Uzak Kod Yürütme
- Donanım durumu manipülasyonu yoluyla kalıcı hizmet reddi
- AI model ağırlıkları veya eğitim veri kümeleri dahil olmak
- Çok kiracılı bulut dağıtımlarında ayrıcalık artışı
Saldırı vektörü yerel ağ erişimi gerektirir, ancak BMC kimlik bilgilerinin ortaya çıkabileceği paylaşılan altyapı ortamlarında özel bir tehlike oluşturur.
NVIDIA, varsayılan BMC konfigürasyonlarını kullanan kuruluşların artan riskle karşı karşıya olduğunu vurgulamaktadır.
CVE-2024-0141: VBIOS kurcalama DOS’u etkinleştirir (CVSS 6.8)
İkincil bir güvenlik açığı olan CVE-2024-0141, düşük seviyeli donanım işlemlerini yöneten GPU VBIOS ürün yazılımını etkiler.
Kiracı düzeyinde GPU erişimi olan kötü niyetli aktörler, desteklenmeyen kayıtlara kötü niyetli değerler yazabilir ve GPU’ları onaylanamayan başarısızlık durumlarına zorlayabilir.
Orta ciddiyet olarak derecelendirilirken, bu kusur, haydut kullanıcıların paylaşılan GPU kaynaklarını istikrarsızlaştırmasına izin vererek bulut servis sağlayıcılarını tehdit eder.
VBIOS istismarı, fiziksel erişim gerektirmez, bu da onu sanallaştırılmış ortamlarda uygulanabilir hale getirir. Nvidia, saldırıların geleneksel sanallaştırma güvenlik katmanlarını atlayacağını ve potansiyel olarak tüm GPU bölümlerini çökerteceğini belirtiyor.
Azaltma ve endüstri tepkisi
NVIDIA, daha önceki HMC derlemelerini çalıştıran sistemler için geriye dönük uyumluluk ile her iki güvenlik açıkını da ele almak için ürün yazılımı 1.6.0 sürümünü yayınladı. Şirket şunları tavsiye ediyor:
- Etkilenen tüm Hopper HGX dağıtımlarında güncellemelerin hemen yüklenmesi
- Saldırı yüzeylerini en aza indirmek için BMC konfigürasyonlarının sertleştirilmesi
- GPU yönetimi arayüzleri için erişim kontrollerini denetleme
NVIDIA’nın Ürün Güvenliği Olay Müdahale Ekibi’nde (PSIRT) Güvenlik Mühendisi Priya Balasubramanian, “Bu yamalar üretimde hopper sistemleri kullanan herhangi bir kuruluş için isteğe bağlı değil” dedi.
“Kod yürütme ve donanım tuğla yeteneklerinin birleşimi kabul edilemez operasyonel riskler yaratıyor.”
Açıklama, AI iş yükleri genişledikçe GPU güvenliğinin arttırılmasını izlemektedir. Araştırmacılar, uzlaşan hızlandırıcıların ML platformlarında model hırsızlığı, veri zehirlenmesi veya tedarik zinciri saldırılarını sağlayabileceği konusunda uyarıyorlar.
NVIDIA GPU’ları kullanan AI veri merkezlerinin% 80’inden fazlası ile zamanında yamalama küresel altyapı bütünlüğü için kritik öneme sahiptir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free