엔비디아 클러스터 관리 소프트웨어에서 초고위험도 인증 누락 취약점 발생
인증 없이 시스템에 접근 가능해 심각...신속한 보안 업데이트 필요
[보안뉴스 박은주 기자] 세계 최대 AI 반도체 기업인 엔비디아(NVIDIA)의 클러스터 관리 소프트웨어에서 인증 누락 취약점이 발견됐다. 초고위험도 수준의 취약점으로 악의적인 코드실행 및 시스템 장악 등 치명적인 위협이 될 수 있어 신속한 보안 업데이트가 요구된다.
[로고=엔비디아]
취약점이 발견된 소프트웨어는 ‘엔비디아 베이스 커맨드매니저(NVIDIA Base Command Manager, 이하 엔비디아 BCM)’이다. AI(인공지능)와 HPC(High Performance Computing, 고성능 컴퓨팅)을 위한 클러스터 관리 소프트웨어로 온프레미스, 클라우드, 엣지 컴퓨팅 환경을 지원하고 있다. 클러스터란 여러 대의 컴퓨터가 연결돼 하나의 시스템처럼 동작하는 집합을 말한다. 주로 AI 연구소, 기업, 데이터센터 운영기업, 클라우드서비스 제공자 등에서 사용된다.
취약점은 엔비디아 BCM 내부에서 작동하는 백그라운드 프로세스 ‘CMDaemon’에서 발견됐다. CMDaemon은 CPU나 네트워크 등 클러스터의 구성요소 간 통신을 지원하고, 작업이 원활하게 실행되도록 돕는 프로세스다.
발견된 취약점은 ‘인증 누락 취약점’으로 인증 없이 시스템에 접근할 수 있도록 한다. 마치 집에 잠금장치가 없어 누구나 문을 열고 들어올 수 있는 상황과 같다. 시스템 보안의 기본적인 방어선이 무너진 셈이다. 이 취약점은 ‘CVE-2024-0138’으로 CVSS(취약점 심각도 점수) 점수가 만점에 가까운 9.8점을 받아 ‘초고위험군’ 수준으로 평가됐다.
사이버 공격자가 해당 취약점을 악용할 경우 악의적인 코드 실행으로 임의대로 프로그램이나 명령어를 실행할 수 있다. 정상적인 시스템 작동을 방해하거나 사용 불가 상태로 만들 수 있고, 권한 상승 및 정보 유출, 데이터 변조 위협이 존재한다.
관리자나 기업이 신속히 대응하지 않는다면 심각한 피해를 초래할 수 있다. 취약점에 영향을 받는 제품 버전은 ‘10.24.09’이다. 취약점을 해결 버전인 ‘10.24.09a’로 신속한 업데이트가 요구된다.
[박은주 기자(boan5@boannews.com)]
인증 없이 시스템에 접근 가능해 심각...신속한 보안 업데이트 필요
[보안뉴스 박은주 기자] 세계 최대 AI 반도체 기업인 엔비디아(NVIDIA)의 클러스터 관리 소프트웨어에서 인증 누락 취약점이 발견됐다. 초고위험도 수준의 취약점으로 악의적인 코드실행 및 시스템 장악 등 치명적인 위협이 될 수 있어 신속한 보안 업데이트가 요구된다.
[로고=엔비디아]
취약점이 발견된 소프트웨어는 ‘엔비디아 베이스 커맨드매니저(NVIDIA Base Command Manager, 이하 엔비디아 BCM)’이다. AI(인공지능)와 HPC(High Performance Computing, 고성능 컴퓨팅)을 위한 클러스터 관리 소프트웨어로 온프레미스, 클라우드, 엣지 컴퓨팅 환경을 지원하고 있다. 클러스터란 여러 대의 컴퓨터가 연결돼 하나의 시스템처럼 동작하는 집합을 말한다. 주로 AI 연구소, 기업, 데이터센터 운영기업, 클라우드서비스 제공자 등에서 사용된다.
취약점은 엔비디아 BCM 내부에서 작동하는 백그라운드 프로세스 ‘CMDaemon’에서 발견됐다. CMDaemon은 CPU나 네트워크 등 클러스터의 구성요소 간 통신을 지원하고, 작업이 원활하게 실행되도록 돕는 프로세스다.
발견된 취약점은 ‘인증 누락 취약점’으로 인증 없이 시스템에 접근할 수 있도록 한다. 마치 집에 잠금장치가 없어 누구나 문을 열고 들어올 수 있는 상황과 같다. 시스템 보안의 기본적인 방어선이 무너진 셈이다. 이 취약점은 ‘CVE-2024-0138’으로 CVSS(취약점 심각도 점수) 점수가 만점에 가까운 9.8점을 받아 ‘초고위험군’ 수준으로 평가됐다.
사이버 공격자가 해당 취약점을 악용할 경우 악의적인 코드 실행으로 임의대로 프로그램이나 명령어를 실행할 수 있다. 정상적인 시스템 작동을 방해하거나 사용 불가 상태로 만들 수 있고, 권한 상승 및 정보 유출, 데이터 변조 위협이 존재한다.
관리자나 기업이 신속히 대응하지 않는다면 심각한 피해를 초래할 수 있다. 취약점에 영향을 받는 제품 버전은 ‘10.24.09’이다. 취약점을 해결 버전인 ‘10.24.09a’로 신속한 업데이트가 요구된다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
