资安业者Wiz Research上周揭露一个位于Nvidia Container Toolkit的安全漏洞CVE-2024-0132,它允许骇客突破容器的隔离限制而存取主机。Nvidia亦已于上周修补了此一被列为重大等级的安全漏洞。
Nvidia Container Toolkit是个专供容器化环境使用的工具套件,可在Docker与Kubernetes等容器平台上,分配GPU资源予容器,以加速各种运算任务。
根据Nvidia的说明,CVE-2024-0132为一时间检查与时间使用(TOCTOU)漏洞,发生在检查资源状态与使用该资源间的时间差中,在预设的配置下执行特定的容器映像档就会触发该漏洞,允许骇客存取主机的档案系统,成功的利用可导致程式执行、服务阻断攻击、权限扩张、资讯揭露或是窜改资料等行为。
该漏洞波及Nvidia Container Toolkit v1.16.1及之前的版本,Nvidia已于上周释出v1.16.2进行修补。
图片来源/Nvidia
有鉴于Nvidia现为全球最大的AI/GPU晶片供应商,Wiz Research估计,全球有33%的云端环境都安装了Nvidia Container Toolkit函式库,曝露于CVE-2024-0132漏洞中。
Wiz Research亦提醒,倘若使用者自不可靠的来源下载恶意的容器映像档,骇客即有机会接管其工作站;或者是在Kubernetes等共用环境中,具备容器部署权的骇客将可逃离该容器并取得于同一节点、甚至同一丛集执行的其它应用程式的资料与秘密,从而影响整个环境。