Nvidia Container Toolkit za Linux: Važna sigurnosna upozorenja
Nvidia Container Toolkit za Linux, set alata koji omogućava developerima da izgrade i pokrenu kontejnere ubrzane GPU-om koristeći Docker ili druge izvršne okvire kontejnera, otkriva ranjivost koja može omogućiti napadačima pristup datotečnom sustavu domaćina. Ova ranjivost im omogućava da izvršavaju zlonamjerni kod na daljinu, pokreću napade uskraćivanja usluga, povećavaju privilegije, kradu osjetljive informacije ili manipulišu podacima žrtve.
Priopćenje kompanije Nvidia
Tvrtka Nvidia potvrdila je ovu informaciju u sigurnosnom savjetodavnom dokumentu. Naveli su da su i Nvidia Container Toolkit i Nvidia GPU Operator (rješenje temeljeno na Kubernetesu koje automatizira implementaciju, upravljanje i nadzor Nvidia GPU resursa u Kubernetes klasteru) ranjivi na grešku označenu kao CVE-2025-23359. Ranjivosti su dodijeljene ocjene ozbiljnosti 8.3 i utječu na sve verzije Container Toolkit-a do 1.17.3, kao i na GPU Operator do verzije 24.9.1. Problem je ispravljen u verzijama 1.17.4 i 24.9.2, redom.
Specifičnosti probleme i rješenja
Važno je napomenuti da je ova greška prisutna samo na Linuxu i ne utječe na slučajeve upotrebe gdje se koristi CDI. Cyber sigurnosni istraživači iz Wiz-a tvrde da je ovo zapravo zaobilaženje druge ranjivosti, koja je označena kao CVE-2024-0132 i ima ocjenu ozbiljnosti 9.0, što je čini kritičnom. Ova ranjivost bi mogla omogućiti zlonamjernim osobama da montiraju root datotečni sustav domaćina u kontejner, pružajući im slobodan pristup gotovo svemu.
Posljedice i preporuke
Što je još važnije, taj pristup se može iskoristiti za pokretanje privilegiranih kontejnera i ostvarivanje potpune kompromitacije domaćina. Nvidia je izjavila da je problem riješen u rujnu 2024. Korisnicima se savjetuje da primjene dostupne ispravke i da ne onemogućuju opciju --no-cntlibs u proizvodnim okruženjima.
Zaključak
Ova situacija naglašava važnost redovnog ažuriranja i primjene sigurnosnih zakrpa za zaštitu od potencijalnih prijetnji. Razvijatelji koji koriste Nvidia Container Toolkit i GPU Operator trebali bi biti posebno oprezni i osigurati da su njihova okruženja sigurna. Čuvajte se potencijalnih ranjivosti i budite proaktivni u zaštiti svojih sustava!
