NVIDIA Container Toolkit: aggiornare all'ultima versione per risolvere una grave vulnerabilità di sicurezza
Il gestore dell'accesso alle risorse GPU per ambienti cloud containerizzati è affetto da una grave vulnerabilità: NVIDIA ha già rilasciato le patch correttive e la falla è prossima ad essere divulgata nella sua completezza
di Andrea Bai pubblicata il 30 Settembre 2024, alle 16:11 nel canale SicurezzaNVIDIA
Una vulnerabilità critica è stata scoperta dalla società di sicurezza informatica Wiz Research a carico dell'NVIDIA Container Toolkit, lo strumento standard di settore per l'accesso nativo alla GPU all'interno di ambienti containerizzati. Alla vulnerabilità, tracciata con il codice CVE-2024-0132, è stato assegnato un punteggio di gravità di 9.0, segnalando quindi un problema a cui porre particolare attenzione.
La vulnerabilità può mettere a rischio tutte le applicazioni IA che fanno uso di NVIDIA Container Toolkit per accedere alle risorse GPU in ambienti cloud o on-premise: un attaccante che dovesse riuscire a sfruttare efficacemente CVE-2024-0132 potrebbe riuscire ad eseguire una manovra di "container escape", ottenendo pieno accesso al sistema host per eseguire comandi o sottrarre informazioni e dati. Si tratta di una minaccia che interessa almeno il 35% degli ambienti cloud.
Il problema principale individuato dai ricercatori di sicurezza risiede nella mancanza di un adeguato isolamento tra la GPU containerizzata e l'host, permettendo ai container di montare parti sensibili del file system host o di accedere a risorse di runtime critiche.
L'origine della vulnerabilità risiede nel fatto che alcuni socket Unix come "docker.sock" e "containerd.sock" possono interagire direttamente con l'host poiché non sono montati in modalità sola lettura: un attaccante potrebbe creare un'immagine di container apposita per riuscire a raggiungere l'host al momento dell'esecuzione.
I ricercatori puntualizzano che l'attacco potrebbe avvenire direttamente, tramite risorse GPU condivise, o indirettamente, quando il bersaglio esegue un'immagine scaricata da una fonte non attendibile.
La vulnerabilità è stata scoperta e segnalata a NVIDIA il 1° settembre dai ricercatori di Wiz. L'azienda ha prontamente riconosciuto il problema e ha rilasciato una patch il 26 settembre: a tal proposito è raccomandato l'aggiornamento alla versione 1.16.2 del NVIDIA Container Toolkit e alla versione 24.6.2 del NVIDIA GPU Operator.
Al di là delle informazioni condivise al momento, i ricercatori non hanno rilasciato ulteriori dettagli tecnici relativi alla vulnerabilità, seguendo i principi di divulgazione responsabile e concedendo così alle realtà interessate il tempo necessario per applicare aggiornamenti di sicurezza e misure di mitigazione. I ricercatori hanno però in programma nel breve termine di illustrare approfonditamente la vulnerabilità.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".