Falha crítica no NVIDIA Container Toolkit permite aquisição total do host

Uma vulnerabilidade crítica no NVIDIA Container Toolkit afeta todos os aplicativos de IA em um ambiente de nuvem ou local que dependem dele para acessar recursos de GPU.

O problema de segurança é rastreado como CVE-2024-0132 e permite que um adversário execute ataques de escape de contêiner e obtenha acesso total ao sistema host, onde pode executar comandos ou exfiltrar informações confidenciais.

NVIDIA

A biblioteca específica vem pré-instalada em muitas plataformas focadas em IA e imagens de máquinas virtuais e é a ferramenta padrão para acesso à GPU quando o hardware NVIDIA está envolvido.

De acordo com a Wiz Research , mais de 35% dos ambientes de nuvem correm risco de ataques que exploram a vulnerabilidade.

Falha de escape do contêiner

O problema de segurança CVE-2024-0132 recebeu uma pontuação de gravidade crítica de 9,0. É um problema de escape de contêiner que afeta o NVIDIA Container Toolkit 1.16.1 e versões anteriores, e o GPU Operator 24.6.1 e versões anteriores.

O problema é a falta de isolamento seguro da GPU em contêiner do host, permitindo que os contêineres montem partes confidenciais do sistema de arquivos do host ou acessem recursos de tempo de execução, como soquetes Unix, para comunicação entre processos.

Embora a maioria dos sistemas de arquivos sejam montados com permissões “somente leitura”, certos soquetes Unix, como ‘docker.sock’ e ‘containerd.sock’, permanecem graváveis, permitindo interações diretas com o host, incluindo a execução de comandos.

Um invasor pode tirar proveito dessa omissão por meio de uma imagem de contêiner especialmente criada e atingir o host quando executado.

Wiz diz que tal ataque pode ser realizado diretamente, por meio de recursos de GPU compartilhados, ou indiretamente, quando o alvo executa uma imagem baixada de uma fonte ruim.

Os pesquisadores da Wiz descobriram a vulnerabilidade e a reportaram à NVIDIA em 1º de setembro. O fabricante da GPU reconheceu o relato alguns dias depois e lançou uma correção em 26 de setembro.

Recomenda-se que os usuários afetados atualizem para o NVIDIA Container Toolkit versão 1.16.2 e o NVIDIA GPU Operator 24.6.2.

Os detalhes técnicos para explorar o problema de segurança permanecem privados por enquanto, para dar tempo às organizações impactadas de mitigar o problema em seus ambientes. No entanto, os pesquisadores estão planejando liberar mais informações técnicas.