NVIDIA Container Toolkit: aggiornare all'ultima versione per risolvere una grave vulnerabilità di sicurezza

NVIDIA Container Toolkit: aggiornare all'ultima versione per risolvere una grave vulnerabilità di sicurezza

Il gestore dell'accesso alle risorse GPU per ambienti cloud containerizzati è affetto da una grave vulnerabilità: NVIDIA ha già rilasciato le patch correttive e la falla è prossima ad essere divulgata nella sua completezza

di pubblicata il , alle 16:11 nel canale Sicurezza
NVIDIA
 

Una vulnerabilità critica è stata scoperta dalla società di sicurezza informatica Wiz Research a carico dell'NVIDIA Container Toolkit, lo strumento standard di settore per l'accesso nativo alla GPU all'interno di ambienti containerizzati. Alla vulnerabilità, tracciata con il codice CVE-2024-0132, è stato assegnato un punteggio di gravità di 9.0, segnalando quindi un problema a cui porre particolare attenzione.

La vulnerabilità può mettere a rischio tutte le applicazioni IA che fanno uso di NVIDIA Container Toolkit per accedere alle risorse GPU in ambienti cloud o on-premise: un attaccante che dovesse riuscire a sfruttare efficacemente CVE-2024-0132 potrebbe riuscire ad eseguire una manovra di "container escape", ottenendo pieno accesso al sistema host per eseguire comandi o sottrarre informazioni e dati.  Si tratta di una minaccia che interessa almeno il 35% degli ambienti cloud.

Il problema principale individuato dai ricercatori di sicurezza risiede nella mancanza di un adeguato isolamento tra la GPU containerizzata e l'host, permettendo ai container di montare parti sensibili del file system host o di accedere a risorse di runtime critiche.

L'origine della vulnerabilità risiede nel fatto che alcuni socket Unix come "docker.sock" e "containerd.sock" possono interagire direttamente con l'host poiché non sono montati in modalità sola lettura: un attaccante potrebbe creare un'immagine di container apposita per riuscire a raggiungere l'host al momento dell'esecuzione.

I ricercatori puntualizzano che l'attacco potrebbe avvenire direttamente, tramite risorse GPU condivise, o indirettamente, quando il bersaglio esegue un'immagine scaricata da una fonte non attendibile.

La vulnerabilità è stata scoperta e segnalata a NVIDIA il 1° settembre dai ricercatori di Wiz. L'azienda ha prontamente riconosciuto il problema e ha rilasciato una patch il 26 settembre: a tal proposito è raccomandato l'aggiornamento alla versione 1.16.2 del NVIDIA Container Toolkit e alla versione 24.6.2 del NVIDIA GPU Operator.

Al di là delle informazioni condivise al momento, i ricercatori non hanno rilasciato ulteriori dettagli tecnici relativi alla vulnerabilità, seguendo i principi di divulgazione responsabile e concedendo così alle realtà interessate il tempo necessario per applicare aggiornamenti di sicurezza e misure di mitigazione. I ricercatori hanno però in programma nel breve termine di illustrare approfonditamente la vulnerabilità.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^