NVIDIA a publié un avis de sécurité détaillant les produits affectés par la vulnérabilité Log4Shell qui est actuellement exploitée dans un large éventail d’attaques dans le monde.
Après une enquête approfondie, NVIDIA a conclu que les vulnérabilités de Log4j n’ont pas d’impact sur les produits suivants :
- Logiciel client GeForce Experience
- Logiciel client GeForceNOW
- Pilotes d’affichage GPU pour Windows
- Produits L4T Jetson
- SHIELD TV
Impact de Log4Shell
Bien que les applications grand public NVIDIA ne soient pas affectées, certaines applications d’entreprise NVIDIA incluent Apache Log4j et doivent être mises à jour :
- Les versions de Nsight Eclipse Edition inférieures à 11.0 sont vulnérables à CVE-2021-33228 et CVE-2021-45046 et sont corrigées dans la version 11.0 ou ultérieure.
- NetQ est vulnérable à CVE-2021-33228, CVE-2021-45046 et CVE-2021-45105 sur les versions 2.x, 3.x et 4.0.x. En tant que tel, il est conseillé aux utilisateurs de mettre à niveau vers NetQ 4.1.0 ou une version ultérieure.
- Le serveur de licences logicielles vGPU est impacté par CVE-2021-33228 et CVE-2021-45046 sur les versions 2021.07 et 2020.05 Update 1. La pratique recommandée dans ces cas est de suivre ce guide d’atténuation.
NVIDIA avertit également que CUDA Toolkit Visual Profiler inclut des fichiers Log4j mais que l’application ne les utilise pas. Une version mise à jour est publiée en janvier 2022 pour supprimer ces fichiers.
« Log4j est inclus dans CUDA Toolkit. Cependant, il n’est pas utilisé et il n’y a aucun risque pour les utilisateurs qui ont les fichiers Log4j », explique Avis de sécurité de NVIDIA.
« Parce qu’ils ne sont pas utilisés, une mise à jour est en cours de préparation pour supprimer les fichiers Log4j de CUDA Toolkit. S’ils sont concernés, les clients peuvent supprimer les fichiers en toute sécurité à titre d’atténuation. »
Enfin, par défaut, DGX Systems n’est pas livré avec la bibliothèque Log4j, mais NVIDIA prévient que certains utilisateurs peuvent l’avoir installé eux-mêmes. Dans ces cas, il est conseillé aux utilisateurs de mettre à jour vers la dernière version disponible de la bibliothèque ou de la supprimer complètement.
L’enquête de NVIDIA est toujours en cours et concerne tous les produits ou services qui n’ont pas été répertoriés comme étant affectés ou n’ont pas été impactés sur les listes ci-dessus.
En revanche, l’autre acteur majeur du marché des GPU, AMD, a confirmé que aucun de leurs produits n’est concerné par l’exploit Log4shell.
Malheureusement, de nombreux autres produits sont concernés, toutes les organisations doivent donc effectuer un audit complet de leurs logiciels vulnérables, en particulier ceux exposés à Internet.
Cependant, même les applications internes vulnérables doivent être mises à jour, car les acteurs de la menace utilisent la vulnérabilité Log4Shell pour se propager latéralement au sein des réseaux afin de déployer des ransomwares.
Mise à jour de l’expérience GeForce
Bien qu’il ne soit pas lié à Log4j, NVIDIA a a publié une mise à jour de sécurité pour le logiciel NVIDIA GeForce Experience, adressant CVE-2021-23175 (score CVSS v3 : 8.2).
Cette vulnérabilité est un problème d’autorisation utilisateur qui peut entraîner une élévation des privilèges, la divulgation d’informations, la falsification de données et un déni de service.
Toutes les versions antérieures à 3.24.0.126 sont affectées par cette faille de haute gravité. Le lancement du logiciel déclenche une mise à jour automatique.
GeForce Experience est une application complémentaire qui aide les utilisateurs à mettre à jour leurs pilotes GPU, à optimiser les paramètres de jeu, etc. Cependant, les utilisateurs peuvent toujours obtenir les mises à jour de pilotes directement à partir de le site de NVIDIA et installez-les manuellement.
Cela signifie que si vous n’utilisez pas l’application pour améliorer les performances de jeu, vous pouvez la supprimer en toute sécurité de votre système et avoir un souci de sécurité de moins pour le moment.