Critical flaw in NVIDIA Container Toolkit allows full host takeover

NVIDIA Container Toolkitの重大な脆弱性は、GPUリソースへのアクセスに依存しているクラウドまたはオンプレミス環境のすべてのAIアプリケーションに影響を与えます。

このセキュリティ問題は、CVE-2024-0132として追跡されており、敵がコンテナエスケープ攻撃を実行し、ホストシステムにフルアクセスすることを可能にします。

この特定のライブラリは、多くのAIに特化したプラットフォームや仮想マシンイメージにプリインストールされており、NVIDIAハードウェアが関与する場合のGPUアクセス用の標準ツールとなっている。

Wiz Researchによると、クラウド環境の35%以上がこの脆弱性を悪用した攻撃の危険にさらされているという。

Project popularity on GitHub
GitHub
Sourceでのプロジェクト人気:Wiz

コンテナエスケープの欠陥

セキュリティ問題CVE-2024-0132は、重要度スコア9.0を獲得した。これは、NVIDIA Container Toolkit 1.16.1以前、およびGPU Operator 24.6.1以前に影響するコンテナエスケープの問題です。

この問題は、コンテナ化されたGPUがホストから安全に分離されていないため、コンテナがホストのファイルシステムの機密性の高い部分をマウントしたり、プロセス間通信用のUnixソケットのようなランタイムリソースにアクセスしたりできるようになるというものです。

ほとんどのファイルシステムは「読み取り専用」パーミッションでマウントされますが、「docker.sock」や「containerd.sock」といった特定のUnixソケットは書き込み可能なままであるため、コマンドの実行を含め、ホストとの直接的なやり取りが可能です。

攻撃者は、特別に細工されたコンテナイメージを介してこの省略を利用し、実行時にホストに到達することができます。

Wiz社によると、このような攻撃は、共有GPUリソースを介して直接実行されるか、ターゲットが不正なソースからダウンロードされたイメージを実行した場合に間接的に実行される可能性があるという。

Wizの研究者はこの脆弱性を発見し、9月1日にNVIDIAに報告した。GPUメーカーは数日後に報告を認め、9月26日に修正プログラムをリリースした。

影響を受けるユーザーは、NVIDIA Container Toolkitバージョン1.16.2およびNVIDIA GPU Operator 24.6.2にアップグレードすることが推奨される。

このセキュリティ問題を悪用するための技術的な詳細は、影響を受ける組織がそれぞれの環境でこの問題を緩和する時間を与えるために、今のところ非公開のままです。しかし、研究者は、より多くの技術情報を公開する予定である。