Badacze cyberbezpieczeństwa w Wiz mają zidentyfikowane Krytyczna podatność, nazwana Nvidiascape (CVE-2025-23266), w zestawie narzędzi Nvidia Container. Ta wada, oceniana 9.0 (krytyczna) w skali ciężkości CVSS, pozwala atakującym ominąć izolację kontenera i osiągnąć dostęp do korzeni do podstawowej maszyny hosta.
Podatność wpływa na wszystkie wersje zestawu narzędzi NVIDIA Container do 1,17.7, a także wersje operatora GPU NVIDIA do 25.3.0. Operator GPU jest szeroko stosowany do zarządzania kontenerami GPU w klastrach Kubernetes.
Znaczącym problemem wynikającym z tego odkrycia jest jego potencjalny wpływ na zarządzane usługi chmurowe AI. W tych środowiskach wielozadaniowych, w których różni użytkownicy udostępniają infrastrukturę GPU, pojedynczy zagrożony kontener może ujawnić dane i modele innych użytkowników na tym samym komputerze. Wiz szacuje, że około 37% środowisk chmurowych jest podatnych na tę wadę, w tym tych zarządzanych przez głównych dostawców chmur.
Techniczny pierwiastek NVIDiascape polega na tym, jak haczyki narzędzi Nvidia Container obsługuje OCI (otwartą inicjatywę kontenerową), w szczególności createContainer hak. Ten konkretny hak dziedziczy zmienne środowiskowe bezpośrednio z obrazu pojemnika, przedstawiającego wektor opłacalny. Atakujący mogą to wykorzystać, ustawiając LD_PRELOAD zmienna środowiskowa w pliku dokera i osadzenie złośliwego .so plik. To pozwala im wstrzykiwać dowolny kod do uprzywilejowanych procesów działających w systemie hosta.
Nvidia potwierdziła podatność w Biuletyn bezpieczeństwaOstrzeżenie o potencjalnych konsekwencjach, w tym „eskalacja przywilejów, manipulowanie danymi, ujawnienie informacji i odmowa usługi”. W odpowiedzi NVIDIA wydała łatki w wersji 1.17.8 zestawu narzędzi kontenera i wersji 25.3.1 operatora GPU.
NVIDIA zdecydowanie zaleca wszystkim użytkownikom natychmiastową aktualizację swoich systemów, niezależnie od tego, czy maszyna hosta jest bezpośrednio narażona na Internet. Firma podkreśla, że napastnicy mogą uzyskać dostęp za pomocą różnych środków, takich jak inżynieria społeczna, naruszenia obrazów kontenerowych lub skażone repozytoria. W przypadku przypadków, w których natychmiastowe aktualizacje nie są możliwe, NVIDIA zaleca wyłączenie enable-cuda-compat Hak, który jest kluczowy dla podatności.
Zespoły bezpieczeństwa są zachęcane do priorytetu hostów łatania, które uruchamiają kontenery zbudowane z niezaufanych lub publicznie dostępnych obrazów, szczególnie w wspólnych środowiskach GPU. Ważne jest, aby zrozumieć, że bezpośrednia ekspozycja w Internecie nie jest warunkiem eksploatacji; Atakujący mogą wykorzystać taktykę inżynierii społecznej lub infiltrację łańcucha dostaw, aby dostarczyć złośliwe obrazy.
Ten incydent nie jest odizolowany dla zestawu zestawu NVIDIA Container. Wcześniej w 2024 r. Badania Wiz odkryły kolejną wadę ucieczki pojemnika, CVE-2024-0132, wpływając na ten sam zestaw narzędzi. Te powtarzające się luki podkreślają szerszy trend: słabości infrastruktury „oldschoolowe”, a nie teoretyczne ataki oparte na sztucznej inteligencji, stanowią najbardziej bezpośrednie i znaczące zagrożenia dla systemów AI. Jak zauważył zespół badawczy Wiz: „podczas gdy szum wokół zagrożeń bezpieczeństwa sztucznej inteligencji koncentruje się na futurystycznych atakach opartych na AI, podatności na infrastrukturę„ oldschool ”w stale rosnącym stosie technologii AI pozostają bezpośrednim zagrożeniem, które zespoły bezpieczeństwa powinny nadać priorytetowe priorytety”.
Source: Nvidia Flaw pozwala hakerom zrootować twoją chmurę sztucznej inteligencji
