Cybersecurity -onderzoekers hebben een kritische containerontstopig kwetsbaarheid in de NVIDIA -containerwerkkit bekendgemaakt die een ernstige bedreiging zou kunnen vormen voor beheerde AI -cloudservices.
De kwetsbaarheid, gevolgd als CVE-2025-23266, draagt een CVSS-score van 9,0 van de 10,0. Het is codenaam Nvidiascape door Google-eigendom Cloud Security Company Wiz.
“NVIDIA Container Toolkit voor alle platforms bevat een kwetsbaarheid in sommige haken die worden gebruikt om de container te initialiseren, waarbij een aanvaller willekeurige code met verhoogde machtigingen zou kunnen uitvoeren,” zei Nvidia in een advies voor de bug.
“Een succesvolle exploit van deze kwetsbaarheid kan leiden tot escalatie van privileges, het knoeien met gegevens, informatie-openbaarmaking en ontkenning.”
De tekortkoming heeft gevolgen voor alle versies van NVIDIA Container Toolkit tot en met 1.17.7 en NVIDIA GPU -operator tot en met 25.3.0. Het is door de GPU -maker aangepakt in respectievelijk versies 1.17.8 en 25.3.1.
De NVIDIA Container Toolkit verwijst naar een verzameling bibliotheken en hulpprogramma’s waarmee gebruikers GPU-versnelde Docker-containers kunnen bouwen en uitvoeren. De NVIDIA GPU -operator is ontworpen om deze containers automatisch op GPU -knooppunten in een Kubernetes -cluster te implementeren.
Wiz, dat details van de fout in een donderdaganalyse deelde, zei dat de tekortkoming 37% van de cloudomgevingen treft, waardoor een aanvaller de gevoelige gegevens en gepatenteerde modellen van alle andere klanten die op dezelfde gedeelde hardware lopen mogelijk door een exploitatie van drie regels mogelijk heeft, kunnen stelen, stelen of manipuleren.
De kwetsbaarheid komt voort uit een verkeerde configuratie in hoe de toolkit omgaat met de Open Container Initiative (OCI) Hook “CreateContainer”. Een succesvolle exploit voor CVE-2025-23266 kan resulteren in een volledige overname van de server. Wiz karakteriseerde de fout ook als “ongelooflijk” gemakkelijk te bewapenen.
“Door LD_PRELOAD in te stellen in hun Dockerfile, zou een aanvaller de NVIDIA-CTK-haak kunnen instrueren om een kwaadaardige bibliotheek te laden,” voegde Wiz-onderzoekers Nir Ohfeld en Shir Tamari toe.
“Het erger nog, de CreateContainer Hook wordt uitgevoerd met de werkmap ingesteld op het rootbestandsysteem van de container. Dit betekent dat de kwaadaardige bibliotheek rechtstreeks vanuit de containerafbeelding met een eenvoudig pad kan worden geladen, waardoor de exploitketen wordt voltooid.”
Dit alles kan worden bereikt met een “verbluffend eenvoudige drie-lijns dockerfile” dat het gedeelde objectbestand van de aanvaller in een bevoorrecht proces laadt, wat resulteert in een ontsnapping van een container.
De openbaarmaking komt een paar maanden nadat Wiz een bypass heeft gedetailleerd voor een andere kwetsbaarheid in Nvidia Container Toolkit (CVE-2024-0132, CVSS-score: 9.0 en CVE-2015-23359, CVSS-score: 8.3) die had kunnen worden misbruikt om een complete gastheer te bereiken.
“Hoewel de hype rond AI-beveiligingsrisico’s de neiging heeft zich te concentreren op futuristische, AI-gebaseerde aanvallen, ‘old-school’ infrastructuur kwetsbaarheden in de steeds groeiende AI-tech-stapel blijven de directe dreiging dat beveiligingsteams prioriteit moeten geven,” zei Wiz.
“Bovendien benadrukt dit onderzoek, niet voor het eerst, dat containers geen sterke beveiligingsbarrière zijn en niet moeten worden vertrouwd als het enige middel van isolatie. Bij het ontwerpen van toepassingen, vooral voor omgevingen met meerdere tenten, moet men altijd ‘een kwetsbaarheid aannemen’ en ten minste één sterke isolatiebarrière implementeren, zoals virtualisatie.”
