Nvidia waarschuwt voor een kritieke kwetsbaarheid in zijn Container Toolkit die cloudomgevingen ernstig kan aantasten.
CVE-2024-0132 krijgt een CVSS-score van negen op tien. Nvidia deelde afgelopen woensdag een bulletin met meer informatie over de kwetsbaarheid. Die treft alle versies van de Container Toolkit tot en met versie 1.16.1. Het betreft een Time-of-check-time-of-use-kwetsbaarheid.
Met een specifiek ontworpen containerimage kan kwaadwillige software ‘ontsnappen’ uit een container en toegang krijgen tot het hostsysteem, schrijft Nvidia. Een succesvolle uitbuiting van de kwetsbaarheid kan leiden tot code-uitvoering, denial of service, escalatie van rechten, openbaarmaking van informatie en geknoei met gegevens. Dit heeft geen invloed op gebruikssituaties waarbij CDI wordt gebruikt.
Besmette containers
Volgens beveiligingsbedrijf Wiz zou minstens één op drie cloudomgevingen die Nvidia Container Toolkit draaien kwetsbaar zijn. In een single-tenant-omgeving moet een aanvaller het slachtoffer overtuigen om de kwaadaardige image te installeren op diens workstation.
Het risico op uitbuiting is echter groter voor gedeelde cloudomgevingen die containerimages van derde partijen toelaten. De aanvaller krijgt dan veel meer vrijheid om andere applicaties binnen de cluster te besmetten.
Patch beschikbaar
Een patch is beschikbaar en zoals bij iedere kwetsbaarheid is het aan te raden die zo snel mogelijk door te voren. Nvidia Container Toolkit versie v.1.16.2 dicht het lek, alsook een minder kritieke kwetsbaarheid (CVE-2024-0133). Het is daarnaast ook aangewezen om Nvidia GPU Operator bij te werken naar versie 24.6.2.