Patch agora: bug crítico da Nvidia permite fuga de contêiner e controle completo do host
Um bug crítico no Container Toolkit amplamente utilizado da Nvidia poderia permitir que um usuário ou software desonesto escapasse de seus contêineres e, finalmente, assumisse o controle total do host subjacente.
A falha, rastreada como CVE-2024-0132, obteve uma classificação de gravidade CVSS de 9,0 em 10 e afeta todas as versões do Container Toolkit até v1.16.1 inclusive, e Nvidia GPU Operator até 24.6.1 inclusive.
Nvidia emitiu uma correção na quarta-feira com a versão mais recente do Container Toolkit (v1.16.2) e Nvidia GPU Operator (v24.6.2). A vulnerabilidade não afeta os casos de uso em que o Container Device Interface (CDI) é usado.
Esta biblioteca específica é usada em nuvens e cargas de trabalho de IA. De acordo com a infosec house Wiz, 33 por cento dos ambientes em nuvem têm uma versão com bugs do Nvidia Container Toolkit instalada, tornando-os vulneráveis.
Os pesquisadores de segurança da Wiz encontraram e divulgaram o bug em 1º de setembro, e a gigante da GPU confirmou que é tão preocupante quanto a loja de segurança em nuvem faz parecer.
“Uma exploração bem-sucedida desta vulnerabilidade pode levar à execução de código, negação de serviço, escalada de privilégios, divulgação de informações e adulteração de dados”, alertou a Nvidia em seu comunicado de segurança.
Novamente, isso pode ser explorado por alguém ou algo que foi autorizado ou gerenciado para ser executado ou executado dentro de um contêiner em um host vulnerável.
CVE-2024-0132 é um Hora de Verificação Hora de Uso (TOCTOU), um tipo de condição de corrida. Isso pode permitir que o invasor obtenha acesso a recursos aos quais não deveria ter acesso.
Específico para Nvidia Container Toolkit: “Qualquer ambiente que permita o uso de imagens de contêiner ou modelos de IA de terceiros – seja internamente ou como serviço – corre maior risco, visto que esta vulnerabilidade pode ser explorada por meio de uma imagem maliciosa”, Wiz kids Shir Tamari, Ronen Shustin, Andres Riancho disse em um artigo sobre o bug.
Para explorar o CVE-2024-0132, um invasor precisaria criar uma imagem especialmente projetada e, em seguida, fazer com que a imagem fosse executada na plataforma de destino, seja indiretamente, convencendo/enganando o usuário a executar a imagem maliciosa, ou diretamente, se o o invasor tem acesso a recursos de GPU compartilhados.
Em um ambiente de computação de locatário único, isso pode acontecer se um usuário baixar uma imagem de contêiner maliciosa – por exemplo, por meio de um ataque de engenharia social em que o usuário acredita que a imagem do contêiner vem de uma fonte confiável. Nesse cenário, o invasor poderia então assumir o controle da estação de trabalho do usuário.
Em um ambiente compartilhado, como o do Kubernetes, no entanto, um criminoso com permissão para implantar um contêiner poderia escapar dele e acessar dados ou segredos de outros aplicativos no mesmo nó ou cluster, observaram os pesquisadores.
Este segundo cenário “é especialmente relevante para provedores de serviços de IA que permitem aos clientes executar suas próprias imagens de contêiner habilitadas para GPU”, alertaram.
“Um invasor pode implantar um contêiner prejudicial, rompê-lo e usar os segredos da máquina host para atingir os sistemas de controle do serviço em nuvem”, continuaram os pesquisadores. “Isso poderia dar ao invasor acesso a informações confidenciais, como código-fonte, dados e segredos de outros clientes que usam o mesmo serviço”.
Wiz não está fornecendo muitos detalhes técnicos sobre como explorar a vulnerabilidade porque o departamento de segurança deseja garantir que as organizações vulneráveis tenham tempo para implantar a correção – e não tenham seu sistema host assumido com privilégios de root.
Mas os pesquisadores prometeram mais em breve, incluindo detalhes de exploração, por isso é uma boa ideia antecipar-se aos possíveis invasores neste caso. ®
