Kritična ranjivost u NVIDIA Container Toolkit i GPU Operator
Nedavne oznake stručnjaka upozoravaju na ozbiljnu ranjivost unutar NVIDIA Container Toolkit-a i GPU Operator-a. Ova ranjivost, označena kao CVE-2024-0132, otkrivena je i prijavljena od strane istraživača kibernetičke sigurnosti tvrtke Wiz 1. rujna 2024. godine. S ocjenom ranjivosti od 9.0/10, što je klasificira kao kritičnu, stručnjaci ističu opasnosti koje ova ranjivost može prouzročiti.
Opis Ranjivosti
Ranjivost se karakterizira kao “Time-of-Check Time-of-Use” (TOCTOU), što znači da može omogućiti raznim prijetnjama pristup datotečnom sustavu domaćina. Da bi se iskoristila ova ranjivost, alati moraju biti postavljeni s zadanim konfiguracijama. Napadač može stvoriti poseban slikovni kontejner koji mu omogućava pristup sustavu domaćina.
Potencijalne Posljedice
Tvrtka upozorava da bi “uspješna eksploatacija ove ranjivosti mogla dovesti do izvršavanja koda, uskraćivanja usluge, eskalacije privilegija, otkrivanja informacija i manipulacije podacima.” Ranjivost pogađa sve verzije NVIDIA Container Toolkit-a do v.1.16.2, kao i sve verzije NVIDIA GPU Operator-a do 24.6.2, koje su prve adresirale ovu manu. Zanimljivo je napomenuti da ranjivost ne djeluje kada se koristi Container Device Interface (CDI).
Sigurnosne Preporuke
Preporučuje se da hitnost rješavanja ranjivosti ovisi o arhitekturi vaše okoline i razini povjerenja koju imate prema slikama koje se koriste.
- Okruženja koja dopuštaju korištenje slika trećih strana ili AI modela, bilo interno ili kao usluga, nose veći rizik zbog mogućnosti zloupotrebe preko zlonamjerne slike.
- Jednotenantna računala mogu biti u opasnosti ako korisnik preuzme zlonamjernu slikovnu datoteku iz nepouzdanog izvora, što može dati pristup radnoj stanici napadača.
- U orkestriranim okruženjima poput Kubernetes-a, napadač s dozvolom za implementaciju kontejnera može pristupiti podacima i tajnama drugih aplikacija koje rade na istom načinu ili klasteru.
Zaključak
Važno je da organizacije poduzmu potrebne mjere opreza i odmah adresiraju ovu ranjivost kako bi zaštitile svoje sustave. Proaktivan pristup sigurnosti kibernetičkih sustava može značajno smanjiti rizik od ovakvih prijetnji.
