Podatność w komponencie AMD Device Metrics Exporter ekosystemu ROCm umożliwia zdalnemu atakującemu nieautoryzowaną modyfikację konfiguracji GPU. Może to doprowadzić do utraty dostępności zarówno samego urządzenia, jak i systemów od niego zależnych.
▸ Pokaż oryginał (EN)
Unrestricted IP address binding in the AMD Device Metrics Exporter (ROCm ecosystem) could allow a remote attacker to perform unauthorized changes to the GPU configuration, potentially resulting in loss of availability
Komponent AMD Device Metrics Exporter nie nakłada odpowiednich ograniczeń na wiązanie adresów IP (CWE-1327 — Binding to an Unrestricted IP Address), co oznacza, że usługa nasłuchuje na interfejsach sieciowych w sposób niekontrolowany. Zdalny atakujący, bez konieczności uwierzytelniania i bez interakcji użytkownika, może wysyłać żądania do tej usługi i dokonywać nieautoryzowanych zmian w konfiguracji GPU. Wektor ataku jest sieciowy, a złożoność ataku — niska, co znacznie obniża próg wejścia dla potencjalnego napastnika.
Atakujący może dokonać nieautoryzowanych zmian konfiguracji GPU, co może skutkować utratą dostępności urządzenia oraz systemów powiązanych (SA:H). Integralność i poufność danych nie są bezpośrednio zagrożone według dostępnych informacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa AMD: https://www.amd.com/en/resources/product-security/bulletin/AMD-SB-6031.html. Zaleca się również ograniczenie dostępu sieciowego do usługi AMD Device Metrics Exporter za pomocą firewalla lub reguł ACL do zaufanych adresów IP do czasu wdrożenia patcha.
AMD Device Metrics Exporter wchodzący w skład ekosystemu ROCm; szczegółowe wersje wskazane w referencjach producenta (biuletyn AMD-SB-6031)
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X