Una vulnerabilità critica è stata recentemente scoperta nel NVIDIA Container Toolkit, che, se sfruttata con successo, potrebbe permettere agli attaccanti di ottenere pieno accesso all'host sottostante, superando i confini del container. La vulnerabilità, identificata come CVE-2024-0132, possiede un punteggio CVSS di 9.0 su 10.0, indicando il suo elevato livello di gravità. Questo problema è stato risolto nella versione v1.16.2 del NVIDIA Container Toolkit e nella versione 24.6.2 del NVIDIA GPU Operator.

La vulnerabilità risiede in una debolezza di tipo Time-of-Check Time-of-Use (TOCTOU) presente nelle versioni 1.16.1 o precedenti del NVIDIA Container Toolkit, quando utilizzate con la configurazione predefinita. Un'immagine container appositamente creata potrebbe ottenere accesso al file system dell'host. Un exploit riuscito potrebbe portare all'esecuzione di codice, al denial of service, all'escalation di privilegi, alla divulgazione di informazioni e alla manomissione dei dati.

Tutte le versioni del NVIDIA Container Toolkit fino alla versione 1.16.1 e del NVIDIA GPU Operator fino alla versione 24.6.1 sono interessate, a meno che non venga utilizzata l'interfaccia Container Device Interface (CDI). La società di sicurezza cloud Wiz, che ha scoperto e segnalato la vulnerabilità a NVIDIA il 1 settembre 2024, ha dichiarato che un attaccante che controlla le immagini del container eseguite dal Toolkit potrebbe eseguire una fuga dal container e ottenere pieno accesso all'host sottostante.

In uno scenario di attacco ipotetico, un attaccante potrebbe sfruttare questa vulnerabilità creando un'immagine container dannosa che, una volta eseguita sulla piattaforma target, garantirebbe loro pieno accesso al file system. Questo potrebbe concretizzarsi sotto forma di un attacco alla supply chain, in cui la vittima viene ingannata a eseguire l'immagine dannosa, oppure attraverso servizi che permettono la condivisione delle risorse GPU. Con questo accesso, l'attaccante potrebbe raggiungere i socket Unix del Container Runtime (docker.sock/containerd.sock), utilizzabili per eseguire comandi arbitrari sul sistema host con privilegi di root, prendendo effettivamente il controllo della macchina.

Il problema rappresenta un rischio grave per gli ambienti orchestrati e multi-tenant, poiché potrebbe permettere a un attaccante di evadere dal container e ottenere accesso ai dati e ai segreti di altre applicazioni eseguite sullo stesso nodo o cluster. Gli aspetti tecnici dell'attacco sono stati trattenuti per prevenire tentativi di sfruttamento. È fortemente raccomandato che gli utenti applichino le patch per proteggersi dalle potenziali minacce.