Vulnerabilità scoperta nel kit di strumenti di Nvidia che consente violazioni dei container AI
Scoperta una vulnerabilità critica nel NVIDIA Container Toolkit: NVIDIAScape
È stata identificata una significativa falla di sicurezza nel NVIDIA Container Toolkit, denominata NVIDIAScape (CVE-2025-23266). Questa vulnerabilità consente agli attaccanti di bypassare l'isolamento del contenitore, potenzialmente acquisendo l'accesso root alla macchina host.
Secondo i ricercatori della sicurezza di Wiz, il problema origina dal modo in cui il toolkit gestisce gli hook OCI (Open Container Initiative), in particolare l'hook createContainer. Gli attaccanti possono sfruttare questa vulnerabilità impostando la variabile di ambiente LD_PRELOAD all'interno di un Dockerfile e incorporando un file .so dannoso. Ciò consente loro di iniettare codice in processi privilegiati sul sistema host.
Le conseguenze di NVIDIAScape vanno oltre i singoli sistemi, poiché rappresenta una minaccia per i servizi cloud gestiti AI. In un'infrastruttura condivisa GPU, questa vulnerabilità potrebbe consentire il compromesso dei dati e dei modelli di più utenti. Sono stati identificati come potenzialmente interessati i principali fornitori di cloud come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP). Wiz stima che circa il 37% degli ambienti cloud, inclusi quelli dei principali fornitori di cloud, sono suscettibili a questa vulnerabilità.
Il sistema di valutazione delle vulnerabilità comuni (CVSS) assegna un punteggio di gravità di 9,0 (Critico) a NVIDIAScape. Questo alto punteggio riflette il potenziale di ampio impatto e gravi conseguenze.
NVIDIA ha confermato la vulnerabilità e ha rilasciato le versioni corrette: 1.17.8 per il Container Toolkit e 25.3.1 per l'Operatore GPU. Come soluzione temporanea, NVIDIA consiglia di disabilitare l'hook enable-cuda-compat, che è al centro della vulnerabilità.
È importante notare che questa non è la prima vulnerabilità di escape del contenitore per il NVIDIA Container Toolkit; Wiz Research ha scoperto la CVE-2024-0132 nel 2024. Il team di ricerca avverte che le squadre di sicurezza devono prioritizzare le vulnerabilità dell'infrastruttura "vecchia scuola".
Gli esperti sottolineano che le vulnerabilità dell'infrastruttura nell'AI tech stack, come NVIDIAScape, rappresentano minacce immediate ai sistemi AI, non solo gli abusi dell'IA futuristici. L'esposizione su Internet non è un prerequisito per l'esploit, poiché gli attaccanti possono utilizzare l'ingegneria sociale o l'infiltrazione della catena di fornitura per consegnare immagini dannose.
NVIDIA consiglia di prioritizzare la patching dei host che eseguono i contenitori costruiti da immagini non attendibili o pubbliche, in particolare negli ambienti GPU condivisi. Man mano che il panorama AI evolve, è fondamentale che le organizzazioni rimangano vigili e proattive nel risolvere le vulnerabilità della sicurezza.
