Исследователи компании Wiz обнаружили критическую уязвимость в инструментарии Nvidia Container Toolkit, который широко используется в облачных средах и для работы с ИИ. Проблема могла использоваться для побега из контейнеров и получения контроля над хостом. Исследователи сообщили о проблеме в Nvidia Container Toolkit после обнаружения уязвимости типа TOCTOU (Time-of-check Time-of-Use), которая подвергает облачные корпоративные среды риску атак на выполнение кода, раскрытие информации и подмену данных. Уязвимость получила идентификатор CVE-2024-0132 (9 баллов по шкале CVSS) и затрагивает Nvidia Container Toolkit до версии 1.16.1 в стандартной конфигурации (когда специально подготовленный образ контейнера может получить доступ к файловой системе хоста) и Nvidia GPU Operator до версии 24.6.1. «Успешная эксплуатация этой уязвимости может привести к выполнению кода, отказу в обслуживании, повышению привилегий, раскрытию информации и подделке данных», — сообщают представители Nvidia в своем бюллетене безопасности. По данным специалистов Wiz, проблема угрожает более чем 35% облачных сред, использующих графические процессоры Nvidia, позволяя злоумышленникам осуществлять побег из контейнеров и захватывать контроль над хостами. Учитывая широкое распространение GPU-решений Nvidia как в облачных, так и в локальных ИИ-операциях, Wiz заявила, что не будет раскрывать подробности об эксплуатации бага, чтобы дать организациям больше времени на установку исправлений. Известно, что корень проблемы кроется в Nvidia Container Toolkit и GPU Operator, которые позволяют ИИ-приложениям получать доступ к ресурсам GPU в контейнерных средах. Хотя это необходимо для оптимизации производительности GPU при работе с ИИ-моделями, злоумышленники, контролирующие образ контейнера, имеют возможность выйти из него и получить полный доступ к хост-системе. По мнению экспертов, уязвимость представляет серьезный риск для организаций, которые используют образы контейнеров от сторонних производителей или позволяют внешним пользователям развертывать ИИ-модели. Последствия от эксплуатации CVE-2024-0132 могут быть самыми разными: от компрометации workload'ов ИИ до доступа к целым кластерам конфиденциальных данных, особенно в таких средах, как Kubernetes. При этом уязвимость особенно опасна в многопользовательских средах с оркестровкой, где графические процессоры совместно используются рабочими нагрузками. В таких средах злоумышленники могут развернуть вредоносный контейнер, сбежать из него, а затем использовать секреты хост-системы для проникновения «к соседям». Таким образом, проблема представляет опасность для поставщиков облачных услуг, таких как Hugging Face и SAP AI Core. Также отмечается, что single-tenant среды тоже подвержены риску. Например, пользователь, загрузивший вредоносный образ контейнера из ненадежного источника, может случайно предоставить злоумышленникам доступ к локальной рабочей станции.