Критическая ошибка в широко используемом Container Toolkit от Nvidia может позволить злоумышленнику или программному обеспечению выйти из своих контейнеров и в конечном итоге получить полный контроль над базовым хостом.
Уязвимость, отслеживаемая как CVE-2024-0132, получила рейтинг серьезности 9,0 из 10 по шкале CVSS и затрагивает все версии Container Toolkit до версии 1.16.1 включительно и Nvidia GPU Operator до версии 24.6.1 включительно.
В среду компания Nvidia выпустила исправление с последней версией Container Toolkit (v1.16.2) и Nvidia GPU Operator (v24.6.2). Уязвимость не влияет на случаи использования, где используется интерфейс контейнерного устройства (CDI).
Эта конкретная библиотека используется в облаках и рабочих нагрузках ИИ. По данным Infosec House Wiz, в 33 процентах облачных сред установлена неисправная версия Nvidia Container Toolkit, что делает их уязвимыми.
Исследователи безопасности Wiz обнаружили и раскрыли ошибку 1 сентября, и гигант GPU подтвердил, что она настолько тревожна, насколько ее представляет магазин облачной безопасности.
«Успешная эксплуатация этой уязвимости может привести к выполнению кода, отказу в обслуживании, повышению привилегий, раскрытию информации и подделке данных», — предупредила Nvidia в своем бюллетене по безопасности.
Опять же, это может быть использовано кем-то или чем-то, кому было разрешено или удалось запустить или запустить в контейнере на уязвимом хосте.
CVE-2024-0132 — это уязвимость времени проверки времени использования (TOCTOU), тип состояния гонки. Это может позволить злоумышленнику получить доступ к ресурсам, к которым у него не должно быть доступа.
Специфика Nvidia Container Toolkit: «Любая среда, которая позволяет использовать сторонние образы контейнеров или модели ИИ — как внутри компании, так и в качестве услуги — подвержена более высокому риску, поскольку эта уязвимость может быть использована через вредоносное изображение», — заявили Wiz kids Шир Тамари, Ронен Шустин и Андрес Рианчо в своем отчете об ошибке.
Чтобы использовать CVE-2024-0132, злоумышленнику необходимо создать специально разработанный образ, а затем запустить его на целевой платформе, либо косвенно, убедив/обманом заставив пользователя запустить вредоносный образ, либо напрямую, если у злоумышленника есть доступ к общим ресурсам графического процессора.
В однопользовательской вычислительной среде это может произойти, если пользователь загрузит вредоносный образ контейнера — скажем, с помощью атаки социальной инженерии, когда пользователь считает, что образ контейнера поступает из надежного источника. В этом сценарии злоумышленник может затем захватить рабочую станцию пользователя.
Однако в общей среде, например на базе Kubernetes, злоумышленник, имеющий разрешение на развертывание контейнера, может выйти из нее и получить доступ к данным или секретам других приложений на том же узле или кластере, отметили исследователи.
Этот второй сценарий «особенно актуален для поставщиков услуг ИИ, которые позволяют клиентам запускать собственные образы контейнеров с поддержкой GPU», — предупредили они.
«Злоумышленник может развернуть вредоносный контейнер, вырваться из него и использовать секреты хост-машины для атаки на системы управления облачной службы», — продолжили исследователи. «Это может дать злоумышленнику доступ к конфиденциальной информации, такой как исходный код, данные и секреты других клиентов, использующих ту же службу».
Wiz не предоставляет слишком много технических подробностей о том, как эксплуатировать уязвимость, поскольку отдел безопасности хочет гарантировать, что уязвимые организации успеют развернуть исправление и не позволят своей хост-системе быть захваченной с привилегиями root.
Но исследователи обещали вскоре предоставить больше информации, включая подробности об эксплойте, поэтому было бы неплохо опередить потенциальных злоумышленников в этом вопросе. ®