NVIDIA revela aplicaciones afectadas por la vulnerabilidad Log4j

NVIDIA ha publicado un aviso de seguridad que detalla qué productos se ven afectados por la vulnerabilidad Log4Shell que actualmente se explota en una amplia gama de ataques en todo el mundo.

Después de una investigación exhaustiva, NVIDIA concluyó que las vulnerabilidades de Log4j no afectan a los siguientes productos:

• Software cliente GeForce Experience
• Software de cliente GeForceNOW
• Controlador de pantalla GPU para Windows
• Productos L4T Jetson
• SHIELD TV

Impacto de Log4Shell

Aunque las aplicaciones de consumo de NVIDIA no se ven afectadas, algunas aplicaciones empresariales de NVIDIA incluyen Apache Log4j y deben actualizarse:

• Las versiones de Nsight Eclipse Edition inferiores a 11.0 son vulnerables a CVE-2021-33228 y CVE-2021-45046 y se han corregido en la versión 11.0 o posterior.
• NetQ es vulnerable a CVE-2021-33228, CVE-2021-45046 y CVE-2021-45105 en las versiones 2.x, 3.xy 4.0.x. Por lo tanto, se recomienda que los usuarios actualicen a NetQ 4.1.0 o posterior.
• El servidor de licencias de software vGPU se ve afectado por CVE-2021-33228 y CVE-2021-45046 en las versiones 2021.07 y 2020.05 Update 1. La práctica recomendada en tales casos es seguir esta guía de mitigación.

NVIDIA también advierte que CUDA Toolkit Visual Profiler incluye archivos Log4j pero que la aplicación no los está usando. Se lanzará una versión actualizada en enero de 2022 para eliminar estos archivos.

"Log4j está incluido en el kit de herramientas CUDA. Sin embargo, no se utiliza y no existe ningún riesgo para los usuarios que tienen los archivos Log4j", explica el aviso de seguridad de NVIDIA.

"Como no se utilizan, se está preparando una actualización para eliminar los archivos Log4j del kit de herramientas CUDA. Los clientes pueden eliminar los archivos de forma segura como mitigación si se ven afectados".

Finalmente, DGX Systems no se envía con la biblioteca Log4j de forma predeterminada, pero NVIDIA advierte que algunos usuarios pueden haberla instalado ellos mismos. En tales casos, se recomienda a los usuarios que actualicen a la última versión disponible de la biblioteca o la eliminen por completo.

La investigación de NVIDIA aún está en curso y cubre cualquier producto o servicio que no se haya enumerado como afectado o no afectado en las listas anteriores.

Por el contrario, el otro jugador importante en el mercado de GPU, AMD, ha confirmado que ninguno de sus productos se ve afectado por el exploit Log4shell.

Desafortunadamente, muchos otros productos se ven afectados, por lo que todas las organizaciones deben realizar una verificación exhaustiva de su software vulnerable, especialmente aquellos expuestos a Internet.

Sin embargo, las aplicaciones internas vulnerables también deben actualizarse, ya que los actores de amenazas utilizan la vulnerabilidad Log4Shell para propagarse lateralmente dentro de las redes para distribuir ransomware.

Actualización de GeForce Experience

Aunque no está relacionado con Log4j, NVIDIA ha lanzado una actualización de seguridad para el software NVIDIA GeForce Experience, dirigida a CVE-2021-23175 (puntuación CVSS v3: 8.2).

Esta vulnerabilidad es un problema de autorización del usuario que puede conducir a la escalada de privilegios, la divulgación de información, la manipulación de datos y la denegación de servicio.

Todas las versiones anteriores a 3.24.0.126 se ven afectadas por este defecto de alta gravedad. El inicio del software desencadena una actualización automática.

GeForce Experience es una aplicación complementaria que ayuda a los usuarios a actualizar sus controladores de GPU, optimizar la configuración del juego, etc. Sin embargo, los usuarios siempre pueden encontrar actualizaciones de controladores directamente desde el sitio web de NVIDIA e instalarlas manualmente.

Esto significa que si no está utilizando la aplicación para mejorar el rendimiento de los juegos, puede eliminarla de forma segura de su sistema y tener un problema de seguridad menos por ahora.