Una vulnerabilidad crítica ha sido detectada en el NVIDIA Container Toolkit, afectando a todas las aplicaciones de inteligencia artificial que dependen de este entorno para acceder a recursos de la GPU, tanto en instalaciones locales como en la nube.

Identificada como CVE-2024-0132 y CVSS: 9, la falla permite a un atacante realizar un escape de contenedores, obteniendo control total sobre el sistema host. Esto incluye la capacidad de ejecutar comandos o extraer datos confidenciales.

Este toolkit (viene preinstalado en numerosas plataformas enfocadas en IA y en imágenes de máquinas virtuales) es una herramienta estándar para la gestión de hardware NVIDIA y acceso a GPU. Se estima que más del 35% de los entornos en la nube están en riesgo de sufrir ataques que exploten esta falla.

La vulnerabilidad afecta a las versiones anteriores a la 1.16.1 del NVIDIA Container Toolkit y a la 24.6.1 del GPU Operator. El problema radica en la falta de aislamiento seguro de la GPU en los contenedores, lo que permite que accedan a partes sensibles del sistema de archivos o recursos de tiempo de ejecución, como los sockets Unix utilizados para la comunicación entre procesos.

Además, ciertos sockets Unix, como ‘docker.sock’ y ‘containerd.sock’, permanecen accesibles con permisos de escritura, lo que permite interacciones directas con el host, incluidas la ejecución de comandos. Un atacante podría explotar esta falla mediante una imagen de contenedor maliciosa para obtener acceso al host al ejecutarla.

Fuente:

Critical flaw in NVIDIA Container Toolkit allows full host takeover