NVIDIA Container Toolkit: bug consente controllo totale dell'host

Una vulnerabilità critica nel NVIDIA Container Toolkit impatta tutte le applicazioni AI in ambienti cloud o on-premise che lo utilizzano per accedere alle risorse GPU. Il problema di sicurezza è identificato come CVE-2024-0132 e permette di eseguire attacchi di "container escape", ottenendo pieno accesso al sistema host, dove si possono eseguire comandi o esfiltrare informazioni sensibili. Questa libreria è preinstallata in molte piattaforme e immagini di macchine virtuali incentrate sull'AI. Si tratta dello strumento standard per l'accesso alla GPU quando è coinvolto hardware NVIDIA. Secondo Wiz Research, oltre il 35% degli ambienti cloud è a rischio di attacchi che sfruttano questa vulnerabilità.

NVIDIA Container Toolkit: come funziona il bug di container escape

Il problema di sicurezza CVE-2024-0132 ha ricevuto un punteggio di gravità critica di 9.0. Si tratta di una vulnerabilità di "container escape" che interessa NVIDIA Container Toolkit versione 1.16.1 e precedenti, ma anche GPU Operator versione 24.6.1 e precedenti. Il problema è la mancanza di un isolamento sicuro della GPU containerizzata dall'host, che consente ai container di montare parti sensibili del file system host o di accedere a risorse di runtime come i socket Unix per la comunicazione tra processi. Anche se la maggior parte dei filesystem è montata con permessi di sola lettura, alcuni socket Unix come 'docker.sock' e 'containerd.sock' rimangono scrivibili. Questi consentendo interazioni dirette con l'host, inclusa l'esecuzione di comandi.

Un hacker può sfruttare questa omissione tramite un'immagine container appositamente creata, riuscendo a raggiungere l'host una volta eseguita. Wiz afferma che un attacco di questo tipo potrebbe essere eseguito direttamente attraverso risorse GPU condivise. In alternativa, può avvenire indirettamente, quando il target esegue un'immagine scaricata da una fonte non sicura. I ricercatori di Wiz hanno scoperto la vulnerabilità, segnalandola a NVIDIA a inizio settembre. Il produttore di GPU ha riconosciuto il problema pochi giorni dopo e ha rilasciato una patch il 26 settembre. Gli utenti interessati dovranno aggiornare NVIDIA Container Toolkit alla versione 1.16.2 di NVIDIA GPU Operator alla versione 24.6.2. Al momento, i dettagli tecnici per lo sfruttamento di questa vulnerabilità rimangono privati. Ciò per dare alle organizzazioni coinvolte il tempo di mitigare il problema nei loro ambienti. Tuttavia, i ricercatori hanno in programma di rilasciare maggiori informazioni tecniche in futuro.