I ricercatori di sicurezza informatica hanno scoperto un metodo per aggirare una vulnerabilità di sicurezza, ora corretta, nel NVIDIA Container Toolkit, che potrebbe essere sfruttata per violare le protezioni di isolamento di un container e ottenere il completo accesso all’host sottostante.
NVIDIA Container Toolkit: in cosa consiste la vulnerabilità e quali versioni prende
La nuova vulnerabilità è stata identificata come CVE-2025-23359 (punteggio CVSS: 8.3) e interessa le seguenti versioni:
- NVIDIA Container Toolkit (tutte le versioni fino alla 1.17.3 inclusa) – Corretto nella versione 1.17.4
- NVIDIA GPU Operator (tutte le versioni fino alla 24.9.1 inclusa) – Corretto nella versione 24.9.2
“NVIDIA Container Toolkit per Linux contiene una vulnerabilità di tipo Time-of-Check Time-of-Use (TOCTOU) quando utilizzato con la configurazione predefinita, per cui un’immagine container manipolata potrebbe ottenere accesso al file system dell’host”, ha dichiarato l’azienda in un avviso pubblicato martedì.
Tuttavia Nvidia su Nvidia Container Toolkit ha poi aggiunto che “lo sfruttamento con successo di questa vulnerabilità potrebbe portare all’esecuzione di codice arbitrario, negazione del servizio (DoS), escalation dei privilegi, divulgazione di informazioni e manomissione dei dati.”
Ulteriori analisi sulla vulnerabilità di NVIDIA Container Toolkit: un’ulteriore vulnerabilità coinvolta!
L’azienda di sicurezza cloud Wiz, che ha condiviso dettagli tecnici aggiuntivi sulla vulnerabilità, ha spiegato che si tratta di un bypass di un’altra vulnerabilità (CVE-2024-0132, punteggio CVSS: 9.0), risolta da NVIDIA a settembre 2024.
In sintesi, questa vulnerabilità consente agli attaccanti di montare il file system root dell’host all’interno di un container, ottenendo così accesso illimitato a tutti i file. Inoltre, questo accesso può essere sfruttato per avviare container con privilegi elevati e compromettere completamente l’host tramite il socket Unix del runtime.
L’analisi del codice dietro Nvidia Container Toolkit
I ricercatori di Wiz Shir Tamari, Ronen Shustin e Andres Riancho hanno scoperto, attraverso un’analisi del codice sorgente del container toolkit, che i percorsi dei file utilizzati nelle operazioni di montaggio possono essere manipolati tramite un link simbolico, permettendo così il montaggio dall’esterno del container (cioè dalla directory root) in un percorso all’interno di “/usr/lib64”.
Sebbene l’accesso al file system dell’host ottenuto con questa tecnica sia inizialmente in sola lettura, questa limitazione può essere aggirata interagendo con i socket Unix per creare nuovi container con privilegi elevati e ottenere accesso illimitato al file system.
“Questo livello di accesso avanzato ci ha anche permesso di monitorare il traffico di rete, effettuare il debug di processi attivi e compiere una serie di altre operazioni a livello di host“, hanno affermato i ricercatori.
Oltre ad aggiornare il software all’ultima versione disponibile, NVIDIA raccomanda agli utenti del Container Toolkit di non disabilitare il flag “–no-cntlibs” negli ambienti di produzione.
