Er is een kritieke beveiligingsfout onthuld in de NVIDIA Container Toolkit die, indien succesvol uitgebuit, ervoor zou kunnen zorgen dat bedreigingsactoren uit de grenzen van een container kunnen breken en volledige toegang kunnen krijgen tot de onderliggende host.
De kwetsbaarheid, bijgehouden als CVE-2024-0132heeft een CVSS-score van 9,0 op een maximum van 10,0. Het probleem is verholpen in NVIDIA Container Toolkit versie v1.16.2 en NVIDIA GPU Operator versie 24.6.2.
“NVIDIA Container Toolkit 1.16.1 of eerder bevat een Time-of-check Time-of-Use (TOCTOU) kwetsbaarheid bij gebruik met een standaardconfiguratie waarbij een specifiek vervaardigde containerimage toegang kan krijgen tot het hostbestandssysteem”, aldus NVIDIA in een adviserend.
“Een succesvolle exploitatie van dit beveiligingslek kan leiden tot het uitvoeren van code, denial of service, escalatie van privileges, het vrijgeven van informatie en het knoeien met gegevens.”
Het probleem heeft gevolgen voor alle versies van NVIDIA Container Toolkit tot en met v1.16.1, en Nvidia GPU Operator tot en met 24.6.1. Het heeft echter geen invloed op gebruiksgevallen waarbij Container Device Interface (CDI) wordt gebruikt.
Cloudbeveiligingsbedrijf Wiz, dat de fout op 1 september 2024 ontdekte en aan NVIDIA rapporteerde, zei dat het een aanvaller die de containerimages beheert die door de Toolkit worden beheerd, in staat zou stellen een container-ontsnapping uit te voeren en volledige toegang te krijgen tot de onderliggende host.
In een hypothetisch aanvalsscenario zou een bedreigingsacteur de tekortkoming kunnen bewapenen door een malafide containerimage te creëren die, wanneer deze direct of indirect op het doelplatform wordt uitgevoerd, volledige toegang tot het bestandssysteem verleent.
Dit zou zich kunnen manifesteren in de vorm van een supply chain-aanval waarbij het slachtoffer wordt misleid om het kwaadaardige imago uit te voeren, of, als alternatief, via diensten die gedeelde GPU-bronnen mogelijk maken.
“Met deze toegang kan de aanvaller nu de Container Runtime Unix-sockets (docker.sock/containerd.sock) bereiken”, aldus beveiligingsonderzoekers Shir Tamari, Ronen Shustin en Andres Riancho.
“Deze sockets kunnen worden gebruikt om willekeurige commando’s uit te voeren op het hostsysteem met rootrechten, waardoor ze effectief de controle over de machine overnemen.”
Het probleem vormt een ernstig risico voor georkestreerde omgevingen met meerdere tenants, omdat het een aanvaller in staat zou kunnen stellen uit de container te ontsnappen en toegang te krijgen tot gegevens en geheimen van andere applicaties die op hetzelfde knooppunt en zelfs hetzelfde cluster draaien.
Technische aspecten van de aanval zijn in dit stadium achterwege gelaten om uitbuitingspogingen te voorkomen. Het wordt ten zeerste aanbevolen dat gebruikers stappen ondernemen om de patches toe te passen ter bescherming tegen mogelijke bedreigingen.
“Terwijl de hype rond AI-veiligheidsrisico’s de neiging heeft zich te concentreren op futuristische AI-gebaseerde aanvallen, blijven ‘old-school’ infrastructuurkwetsbaarheden in de steeds groter wordende AI-technologie het directe risico waar beveiligingsteams prioriteit aan moeten geven en waartegen ze zich moeten beschermen”, aldus de onderzoekers. .