WIZ的网络安全研究人员已经确定了NVIDIA容器工具包中的一个关键脆弱性,称为NVIDIASCAPE(CVE-2025-23266)。该缺陷在CVSS严重程度尺度上的9.0(关键)额定值,允许攻击者绕过容器隔离并实现对基础主机机器的访问。
该漏洞会影响NVIDIA容器工具包的所有版本高达1.17.7,以及NVIDIA GPU操作员版本的版本高达25.3.0。 GPU操作员被广泛用于管理Kubernetes簇中的GPU容器。
这一发现引起的一个重大问题是它对托管AI云服务的潜在影响。在这些多租户环境中,各种用户共享GPU基础架构,一个受损的容器可以在同一台计算机上曝光其他用户的数据和模型。 WIZ估计,大约有37%的云环境容易受到此缺陷的影响,包括由主要云提供商管理的缺陷。
NVIDIASCAPE的技术根在于NVIDIA容器工具包如何处理OCI(开放容器倡议)挂钩,特别是 createContainer 钩。这个特定的钩子直接从容器图像中继承了环境变量,并呈现一个可剥削的向量。攻击者可以通过设置 LD_PRELOAD 环境变量在码头中的变量并嵌入恶意 .so 文件。这使他们可以将任意代码注入主机系统上运行的特权过程。
NVIDIA已承认安全公告中的脆弱性,警告潜在的后果,包括“特权升级,篡改数据,信息披露和拒绝服务”。作为响应,NVIDIA已在GPU操作员的容器工具包和25.3.1版本的1.17.8版中发布了补丁程序。
NVIDIA强烈建议所有用户立即升级其系统,而不管主机是否直接接触到Internet。该公司强调说,攻击者可以通过各种方式获得访问权限,例如社会工程,折衷的容器图像或污染的存储库。对于立即升级不可行的情况,NVIDIA建议禁用 enable-cuda-compat 钩,这是脆弱性的核心。
敦促安全团队优先考虑通过不受信任或公开可用的图像构建的容器,尤其是在共享GPU环境中构建的容器。至关重要的是要了解直接互联网暴露不是剥削的先决条件。攻击者可以利用社会工程策略或供应链渗透来提供恶意图像。
对于NVIDIA容器工具包而言,此事件不是孤立的事件。 2024年初,Wiz Research发现了另一个容器逃生缺陷CVE-2024-0132,影响了同一工具包。这些反复出现的漏洞强调了更广泛的趋势:“老式”基础设施弱点,而不是基于理论上的AI攻击,对AI系统构成了最直接和最重要的威胁。正如WIZ研究团队所指出的那样,“尽管AI安全风险的炒作倾向于集中于未来派,基于AI的攻击,但在不断增长的AI Tech堆栈中的“老式”基础设施脆弱性仍然是安全团队应优先考虑的直接威胁。”
Source: NVIDIA缺陷让黑客扎根您的AI云
