Серьёзная уязвимость в инструменте Nvidia Container Toolkit

Исследователи из компании Wiz обнаружили серьезную уязвимость в инструменте Nvidia Container Toolkit, который широко применяется в облачных средах и для работы с ИИ. Эта проблема может позволить злоумышленникам выйти из контейнеров и получить контроль над хост-системой.

После обнаружения уязвимости типа TOCTOU (Time-of-check Time-of-Use), которая подвергает облачные корпоративные системы риску атак на выполнение кода, раскрытие информации и подмену данных, исследователи сообщили о проблеме в Nvidia Container Toolkit.

Уязвимость имеет идентификатор CVE-2024-0132 и оценивается в 9 баллов по шкале CVSS. Она затрагивает Nvidia Container Toolkit до версии 1.16.1 в стандартной конфигурации (когда специально подготовленный образ контейнера может получить доступ к файловой системе хоста) и Nvidia GPU Operator до версии 24.6.1.

Эксплуатация этой уязвимости может привести к выполнению вредоносного кода, отказу в обслуживании, повышению привилегий, раскрытию информации и подделке данных, предупреждают представители Nvidia в своем бюллетене безопасности.

По данным экспертов Wiz, проблема затрагивает более 35% облачных сред, использующих графические процессоры Nvidia. Злоумышленники могут использовать эту уязвимость для выхода из контейнеров и захвата контроля над хостами. Учитывая широкое распространение решений Nvidia для работы с ИИ как в облачных, так и в локальных средах, Wiz не раскрывает подробности об эксплуатации бага, чтобы организации могли быстрее установить исправления.

Проблема связана с тем, что Nvidia Container Toolkit и GPU Operator позволяют ИИ-приложениям получать доступ к ресурсам GPU в контейнерных средах. Хотя это необходимо для оптимизации производительности GPU при работе с ИИ-моделями, злоумышленники могут использовать это для выхода из контейнера и получения полного доступа к хост-системе.

Эксперты считают, что уязвимость представляет серьезный риск для организаций, использующих образы контейнеров от сторонних производителей или позволяющих внешним пользователям развертывать ИИ-модели.

Эксплуатация CVE-2024-0132 может привести к различным последствиям, от компрометации ИИ-нагрузок до доступа к конфиденциальным данным, особенно в таких средах, как Kubernetes.

Особенно опасна уязвимость в многопользовательских средах с оркестровкой, где несколько рабочих нагрузок используют один и тот же графический процессор. В таких средах злоумышленники могут развернуть вредоносный контейнер, выйти из него и использовать секреты хост-системы для проникновения в другие контейнеры. Это представляет угрозу для таких поставщиков облачных услуг, как Hugging Face и SAP AI Core.

Также отмечается, что уязвимость может затронуть и single-tenant среды. Например, пользователь, загрузивший вредоносный образ контейнера из ненадежного источника, может случайно предоставить злоумышленникам доступ к своей локальной рабочей станции.