Siber güvenlik araştırmacıları, bir konteynerin izolasyon korumalarından kurtulmak ve altta yatan ana bilgisayara tam erişim elde etmek için kullanılabilecek NVIDIA konteyner araç setinde şimdi paketlenmiş bir güvenlik açığı için bir bypass keşfettiler.
Yeni güvenlik açığı olarak izleniyor CVE-2025-23359 (CVSS puanı: 8.3). Aşağıdaki sürümleri etkiler –
- NVIDIA Konteyner Araç Seti (1.17.3’e kadar olan ve dahil olmak üzere tüm sürümler) – 1.17.4 sürümünde düzeltildi
- NVIDIA GPU Operatörü (24.9.1’e kadar olan ve dahil olmak üzere tüm sürümler) – 24.9.2 sürümünde sabitlenmiş
Şirket, “Linux için NVIDIA Konteyner Araç Seti, hazırlanmış bir konteyner görüntüsünün ana bilgisayar dosya sistemine erişebileceği varsayılan yapılandırma ile kullanıldığında, kontrol saati kullanma süresi (Toctou) güvenlik açığı içerir.” Dedi. Salı.
“Bu güvenlik açığının başarılı bir şekilde kullanılması, kod yürütülmesine, hizmetin reddedilmesine, ayrıcalıkların artmasına, bilgi açıklamasına ve veri kurcalamasına yol açabilir.”
https://www.youtube.com/watch?v=om5xyzkeoak
Kusurun ek teknik özelliklerini paylaşan bulut güvenlik firması Wiz, Eylül 2024’te NVIDIA tarafından ele alınan başka bir güvenlik açığı (CVE-2024-0132, CVSS Skoru: 9.0) için bir baypas olduğunu söyledi.
Kısacası, güvenlik açığı, kötü aktörlerin ana bilgisayarın kök dosya sistemini bir kapta monte etmelerini sağlar ve bunlara tüm dosyalara sınırsız erişim sağlar. Ayrıca, erişim ayrıcalıklı kapları başlatmak ve çalışma zamanı UNIX soketi aracılığıyla tam ana bilgisayar uzlaşması elde etmek için kullanılabilir.
Wiz Araştırmacılar Güvenlik Araştırmacıları Shir Tamari, Ronen Shustin ve Andres Riancho, konteyner araç setinin kaynak kodu analizlerinin, montaj işlemleri sırasında kullanılan dosya yollarının, kapsayıcının dışından monte edilmesini mümkün kılacak şekilde sembolik bir bağlantı kullanılarak manipüle edilebileceğini buldu. (yani kök dizini) “/usr/lib64” içindeki bir yola.
Konteyner kaçışının sağladığı ana dosya sistemine erişim salt okunur olsa da, bu sınırlama, yeni ayrıcalıklı kaplar doğurmak ve dosya sistemine sınırsız erişim sağlamak için UNIX soketleriyle etkileşime girerek atlatılabilir.
Araştırmacılar, “Bu yüksek erişim seviyesi, ağ trafiğini izlememize, aktif süreçleri hata ayıklamamıza ve bir dizi diğer ana bilgisayar düzeyinde işlem yapmamıza izin verdi.” Dedi.
En son sürüme güncellenmenin yanı sıra, NVIDIA konteyner araç seti kullanıcılarının üretim ortamlarındaki “—no-cntlibs” bayrağını devre dışı bırakmaması önerilir.