Vulnerabilidade Crítica ao Kit de Ferramentas de Contêineres da NVIDIA Pode Conceder Acesso Total ao Anfitrião aos Atacantes.

Sticky 28/09/2024
Vulnerabilidade Crítica ao Kit de Ferramentas de Contêineres da NVIDIA Pode Conceder Acesso Total ao Anfitrião aos Atacantes
Visualizações: 8

Uma falha crítica de segurança foi divulgada no NVIDIA Container Toolkit que, se explorada com sucesso, poderia permitir que os agentes de ameaças saíssem dos limites de um contêiner e obtivessem acesso total ao host subjacente.

A vulnerabilidade, rastreada como CVE-2024-0132, carrega uma pontuação CVSS de 9,0 de um máximo de 10,0. Ele foi abordado no NVIDIA Container Toolkit versão v1.16.2 e no NVIDIA GPU Operator versão 24.6.2.

“NVIDIA Container Toolkit 1.16.1 ou anterior contém um Time-of-Check Time-of-Use (TOCTOU) vulnerabilidade quando usada com configuração padrão onde uma imagem de contêiner especificamente criada pode obter acesso ao sistema de arquivos host” NVIDIA disse em um comunicado.

“Uma exploração bem-sucedida dessa vulnerabilidade pode levar à execução de código, negação de serviço, escalonamento de privilégios, divulgação de informações e adulteração de dados.”

O problema afeta todas as versões do NVIDIA Container Toolkit até e incluindo a v1.16.1 e o Nvidia GPU Operator até e incluindo a 24.6.1. No entanto, isso não afeta os casos de uso em que a Container Device Interface (CDI) é usada.

A empresa de segurança em nuvem Wiz, que descobriu e relatou a falha à NVIDIA em 1o de setembro de 2024, disse que poderia permitir que um invasor que controla as imagens de contêiner executadas pelo Toolkit executasse uma fuga de contêiner e obtivesse acesso total ao host subjacente.

Em um cenário de ataque hipotético, um agente de ameaças poderia armar a falha criando uma imagem de contêiner desonesta que, quando executada na plataforma de destino, direta ou indiretamente, lhes concede acesso total ao sistema de arquivos.

Isso pode se materializar na forma de um ataque à cadeia de suprimentos, onde a vítima é enganada para executar a imagem maliciosa ou, alternativamente, por meio de serviços que permitem recursos de GPU compartilhados.

“Com esse acesso, o invasor pode agora alcançar os soquetes Unix Container Runtime (docker.sock/containerd.sock),” pesquisadores de segurança Shir Tamari, Ronen Shustin e Andres Riancho disse.

“Esses soquetes podem ser usados para executar comandos arbitrários no sistema host com privilégios de root, efetivamente assumindo o controle da máquina.”

O problema representa um risco grave para ambientes orquestrados e de vários locatários, pois poderia permitir que um invasor escapasse do contêiner e obtivesse acesso a dados e segredos de outros aplicativos em execução no mesmo nó e até mesmo no mesmo cluster.

Os aspectos técnicos do ataque foram retidos nesta fase para evitar os esforços de exploração. É altamente recomendável que os usuários tomem medidas para aplicar os patches para proteger contra possíveis ameaças.

“Enquanto o hype sobre os riscos de segurança da IA tende a se concentrar em ataques futuristas baseados em IA, as vulnerabilidades de infraestrutura ‘antigas’ na crescente pilha de tecnologia da IA continuam sendo o risco imediato de que as equipes de segurança devem priorizar e proteger”, disseram os pesquisadores.

Fonte: hehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança de rede web e servidores empresariais.

Av. São Paulo, 1223. João Pessoa
Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 20.962.496/0001-91

Central de Atendimento ao Cliente
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br
https://www.hostcuritiba.net.br

contato@hostcuritiba.net.br
suporte@hostcuritiba.net.br
abuse@hostcuritiba.net.br

Outros artigos

google

O novo recurso de e-mail protegido do Gmail permite que os usuários criem aliases para privacidade de e-mail

Sticky 18/11/2024

O Google parece estar preparando um novo recurso chamado E-mail Blindado, que permite aos usuários criar aliases de e-mail ao se inscreverem em serviços online e combater melhor o spam. O recurso foi relatado pela primeira vez pelo Android Authority na semana passada, após a desmontagem da versão mais recente do Google Play Services para Android. A ideia é […]

wordpress

Urgente: Vulnerabilidade crítica do plugin WordPress expõe mais de 4 milhões de sites

Sticky 18/11/2024

Uma vulnerabilidade crítica de desvio de autenticação foi divulgada no plugin Really Simple Security (antigo Really Simple SSL) para WordPress que, se explorada com sucesso, pode conceder a um invasor acesso administrativo total remotamente a um site suscetível. A vulnerabilidade, rastreada como CVE-2024-10924 (pontuação CVSS: 9,8), impacta versões gratuitas e premium do plugin. O software […]

Captura de tela 2024 11 16 165826

Chips Nvidia ARM serão lançados em 2025 para rivalizar com a AMD e a Intel

Sticky 16/11/2024

A Nvidia tem planos ambiciosos para o mercado de PCs, mas eles realmente desafiarão a AMD, a Intel e a Qualcomm? De acordo com um relatório de Digitimários, a Nvidia planeja lançar novos chips de PC baseados em ARM em setembro de 2025. Esses novos chips combinarão núcleos de CPU baseados em ARM com gráficos da […]