Siber güvenlik araştırmacıları, NVIDIA konteyner araç setinde yönetilen AI bulut hizmetleri için ciddi bir tehdit oluşturabilecek kritik bir konteyner kaçış güvenlik açığını açıkladılar.
CVE-2025-23266 olarak izlenen güvenlik açığı, 10.0 üzerinden 9.0 CVSS skoru taşır. Kod adlandırıldı Nvidiascape Google’a ait bulut güvenlik şirketi Wiz.
Nvidia, “Tüm platformlar için NVIDIA konteyner araç seti, bir saldırganın yüksek izinlerle keyfi kod yürütebileceği konteyneri başlatmak için kullanılan bazı kancalarda bir güvenlik açığı içerir.” Dedi.
Diyerek şöyle devam etti: “Bu güvenlik açığının başarılı bir şekilde kullanılması, ayrıcalıkların artmasına, veri kurcalamasına, bilgi ifşa edilmesine ve hizmet reddine yol açabilir.”
Kayıp, NVIDIA konteyner araç setinin tüm sürümlerini 1.17.7 ve NVIDIA GPU operatörünü 25.3.0’a kadar dahil eder. GPU üreticisi tarafından sırasıyla 1.17.8 ve 25.3.1 sürümlerinde ele alınmıştır.
NVIDIA Konteyner Araç Seti, kullanıcıların GPU ile uyumlu Docker kapsayıcıları oluşturmasını ve çalıştırmasını sağlayan bir kütüphane ve yardımcı program koleksiyonunu ifade eder. NVIDIA GPU operatörü, bu kapları bir Kubernetes kümesindeki GPU düğümlerine otomatik olarak dağıtmak için tasarlanmıştır.
Perşembe analizinde kusurun ayrıntılarını paylaşan Wiz, eksikliğin bulut ortamlarının% 37’sini etkilediğini ve bir saldırganın aynı paylaşılan donanımda çalışan diğer tüm müşterilerin hassas verilerine ve tescilli modellerine üç satırlık bir istismar yoluyla potansiyel olarak erişmesine, çalmasına veya manipüle etmesine izin verdiğini söyledi.
Güvenlik açığı, araç setinin Açık Konteyner Girişimi (OCI) kancasını “Createcontainer” ı nasıl ele aldığı konusundaki yanlış yapılandırmadan kaynaklanmaktadır. CVE-2025-23266 için başarılı bir istismar, sunucunun tamamen ele geçirilmesine neden olabilir. Wiz ayrıca kusuru “inanılmaz” kolay silahlandırma olarak nitelendirdi.
Wiz araştırmacıları Nir Ohfeld ve Shir Tamari, “Dockerfile’larına LD_PRELOAD ayarlayarak, bir saldırgan NVIDIA-CTK kancasını kötü niyetli bir kütüphane yüklemesi için talimat verebilir.”
“Daha da kötüsü, CreateContainer Hook, çalışma dizini kapsayıcının kök dosya sistemine ayarlanmasıyla yürütülür. Bu, kötü amaçlı kütüphanenin sömürü zincirini tamamlayarak basit bir yolla doğrudan konteyner görüntüsünden yüklenebileceği anlamına gelir.”
Tüm bunlar, saldırganın paylaşılan nesne dosyasını ayrıcalıklı bir sürece yükleyen ve bir konteyner kaçmasına neden olan “çarpıcı derecede basit üç satırlık bir dockerfile” ile elde edilebilir.
Açıklama, Wiz’in NVIDIA konteyner araç setinde (CVE-2024-0132, CVSS skoru: 9.0 ve CVE-2025-23359, CVSS skoru: 8.3), tam ev sahibi alınma elde etmek için kötüye kullanılabilecek başka bir güvenlik açığı için bir baypas detaylandırmasından birkaç ay sonra geliyor.
Wiz, “AI güvenlik riskleri etrafındaki hype, fütüristik, yapay zeka tabanlı saldırılara odaklanma eğilimindeyken, ‘eski okul’ altyapı güvenlik açıkları, sürekli büyüyen AI teknoloji yığınındaki güvenlik ekiplerinin öncelik vermesi gereken hemen tehdit olmaya devam ediyor.” Dedi.
“Ayrıca, bu araştırma, ilk kez değil, kapların güçlü bir güvenlik bariyeri olmadığını ve tek izolasyon aracı olarak güvenilmemesi gerektiğini vurgular. Uygulamalar tasarlarken, özellikle çok kiracılı ortamlar için, her zaman bir güvenlik açığı varsaymalı ve sanallaştırma gibi en az bir güçlü izolasyon bariyeri uygulamalıdır.”