Una vulnerabilità critica di NVIDIA permette di prendere il controllo di interi ambienti cloud

I ricercatori di Wiz hanno scoperto una vulnerabilità critica in NVIDIA Container Toolkit, un insieme di strumenti che consentono di creare applicazioni di IA in container con accesso alle risorse GPU. Il bug permette a un attaccante che controlla l’immagine del container eseguita dal toolkit di uscire dal contesto del container e prendere il controllo del sistema host.

Il toolkit proposto da NVIDIA consente di condividere una singola GPU tra diversi carichi di lavoro e potenzialmente tra diversi utenti. I driver e gli strumenti contenuti nel toolkit consentono di abilitare l’uso nativo della GPU anche all’interno degli ambienti containerizzati; negli ultimi anni, questo insieme di strumenti è diventato molto usato pe le applicazioni di intelligenza artificiale.

Pixabay

Come riporta NVIDIA nel suo advisory di sicurezza, la vulnerabilità, tracciata come CVE-2024-0132, è un bug di Time-of-check Time-of-use, un tipo di race condition sul controllo dello stato di una risorsa. “Un exploit riuscito della vulnerabilità può portare all’esecuzione di codice, all’interruzione di servizio, all’escalation dei privilegi, alla pubblicazione di informazioni e alla modifica di dati” spiega la compagnia.

Per sfruttare l’exploit, un attaccante deve creare un’immagine malevola specifica per sfruttare la vulnerabilità. Dopo aver eseguito l’immagine sulla piattaforma target, l’attaccante ottiene i pieni permessi di lettura sull’host e di conseguenza la completa visibilità dell’infrastruttura sottostante.

Dopo aver ottenuto questo accesso, l’attaccante può prendere il controllo delle socket Container Runtime Unix ed eseguire comandi sull’host con privilegi di root, di fatto prendendo il controllo della macchina.

L’impatto della vulnerabilità NVIDIA

La vulnerabilità mette a rischio chiunque utilizzi NVIDIA Container Toolkit, ma i più a rischio sono gli ambienti che consentono l’esecuzione di immagini o modelli di IA di terze parti, sia internamente che in modalità as-a-service.

I ricercatori di Wiz spiegano che, nel caso di un exploit in un ambiente orchestrato e condiviso come Kubernetes, un attaccante che ha i permessi di eseguire un container potrebbe ottenere dati e segreti di altre applicazioni che sono in esecuzione sullo stesso nodo o nello stesso ambiente.

Questo scenario diventa ancora più pericoloso nel caso in cui i provider di servizi IA consentono ai propri clienti di eseguire le loro immagini: un attacco di successo permetterebbe ai cybercriminali di usare i segreti della macchina host per prendere il controllo dell’intero sistema di servizi cloud.

Secondo le stime dei ricercatori, il 33% degli ambienti cloud è esposto alla vulnerabilità. “La ricerca evidenzia, non per la prima volta, che i container non sono una barriera di sicurezza forte e non si dovrebbe fare affidamento su di essi come unico mezzo di isolamento. Quando progettiamo applicazioni, soprattutto quelle multi-tenant, dovremmo sempre “presumere una vulnerabilità” e progettarle in modo da avere almeno una forte barriera di isolamento, come la virtualizzazione” sottolinea il team di Wiz.

Il bug colpisce tutte le versioni di NVIDIA Container Toolkit fino alla 1.16.1 (compresa). I ricercatori consigliano alle aziende che usano il toolkit di aggiornarlo il prima possibile alla versione 1.16.2.