Pesquisadores de segurança cibernética do Wiz têm identificado Uma vulnerabilidade crítica, apelidada de NvidiAscape (CVE-2025-23266), dentro do NVIDIA Container Toolkit. Essa falha, classificada em 9.0 (crítica) na escala de gravidade do CVSS, permite que os invasores ignorem o isolamento do contêiner e obtenham acesso raiz à máquina host subjacente.
A vulnerabilidade afeta todas as versões do kit de ferramentas de contêineres da NVIDIA até 1.17.7, bem como as versões do operador da GPU da NVIDIA até 25.3.0. O operador da GPU é amplamente utilizado para gerenciar contêineres de GPU nos clusters de Kubernetes.
Uma preocupação significativa decorrente dessa descoberta é seu impacto potencial nos serviços gerenciados de nuvem de IA. Nesses ambientes multi-inquilinos, onde vários usuários compartilham a infraestrutura da GPU, um único contêiner comprometido pode expor os dados e modelos de outros usuários na mesma máquina. O Wiz estima que aproximadamente 37% dos ambientes em nuvem são suscetíveis a essa falha, incluindo aqueles gerenciados pelos principais provedores de nuvem.
A raiz técnica da nvidiAscape está na maneira como o NVIDIA Container Toolkit lida com os ganchos OCI (Open Container Initiative), especificamente o createContainer gancho. Esse gancho específico herda as variáveis de ambiente diretamente da imagem do contêiner, apresentando um vetor explorável. Os atacantes podem alavancar isso definindo o LD_PRELOAD Variável de ambiente dentro de um Dockerfile e incorporando um malicioso .so arquivo. Isso lhes permite injetar código arbitrário em processos privilegiados em execução no sistema host.
Nvidia reconheceu a vulnerabilidade em um Boletim de segurançaAviso de possíveis consequências, incluindo “escalada de privilégios, adulteração de dados, divulgação de informações e negação de serviço”. Em resposta, a NVIDIA lançou patches na versão 1.17.8 do contêiner Toolkit e versão 25.3.1 do operador da GPU.
A NVIDIA aconselha fortemente todos os usuários a atualizar seus sistemas imediatamente, independentemente de a máquina host estar diretamente exposta à Internet. A empresa destaca que os invasores podem obter acesso por vários meios, como engenharia social, imagens de contêineres comprometidas ou repositórios contaminados. Para casos em que as atualizações imediatas não são viáveis, a Nvidia recomenda desativar o enable-cuda-compat Hook, que é central para a vulnerabilidade.
As equipes de segurança devem priorizar os hosts de patch que executam contêineres construídos a partir de imagens não confiáveis ou disponíveis, especialmente em ambientes de GPU compartilhados. É crucial entender que a exposição direta à Internet não é um pré -requisito para a exploração; Os invasores podem utilizar táticas de engenharia social ou infiltração da cadeia de suprimentos para fornecer imagens maliciosas.
Este incidente não é isolado para o NVIDIA Container Toolkit. No início de 2024, a Wiz Research descobriu outra falha de fuga de contêineres, CVE-2024-0132, afetando o mesmo kit de ferramentas. Essas vulnerabilidades recorrentes ressaltam uma tendência mais ampla: as fraquezas da infraestrutura “antiga”, em vez de ataques teóricos à base de IA, apresentam as ameaças mais imediatas e significativas para os sistemas de IA. Como observou a equipe de pesquisa do WIZ, “enquanto o hype em torno dos riscos de segurança da IA tende a se concentrar em ataques futuristas e baseados em IA, as vulnerabilidades de infraestrutura” da velha escola “na crescente pilha de tecnologia da IA continuam sendo a ameaça imediata que as equipes de segurança devem priorizar”.
Source: Falha nvidia permite que os hackers tornem sua nuvem de AI
