У исследователей кибербезопасности в Wiz есть идентифицировано Критическая уязвимость, получившая название NVIDIASCAPE (CVE-2025-23266), в пределах инструментария nvidia Container. Этот недостаток, рейтинг 9.0 (критического) по шкале тяжести CVSS, позволяет злоумышленникам обходить изоляцию контейнеров и достигать доступа к корнеу к базовой хост -машине.
Уязвимость влияет на все версии инструментария контейнера NVIDIA до 1,17,7, а также версии оператора GPU NVIDIA до 25.3.0. Оператор GPU широко используется для управления контейнерами GPU в кластерах Kubernetes.
Значительной проблемой, возникающей в результате этого открытия, является его потенциальное влияние на управляемые облачные сервисы ИИ. В этих мультитенантных средах, где различные пользователи делятся инфраструктурой графических процессоров, один скомпрометированный контейнер может подвергать данные и модели других пользователей на одной и той же машине. По оценкам Wiz, приблизительно 37% облачных среда подвержены этому недостаткам, в том числе те, которые управляются крупными облачными поставщиками.
Технический корень NVIDIASCAPE заключается в том, как инструментарий nvidia Container обрабатывает крючки OCI (Open Container), в частности createContainer крюк. Этот конкретный крюк наследует переменные среды непосредственно с изображения контейнера, представляя эксплуатационный вектор. Злоумышленники могут использовать это, установив LD_PRELOAD переменная окружающей среды в DockerFile и внедрение вредоносного .so файл. Это позволяет им вводить произвольный код в привилегированные процессы, работающие в хост -системе.
Nvidia признала уязвимость в Бюллетень безопасностипредупреждение о потенциальных последствиях, включая «эскалацию привилегий, подделка данных, раскрытие информации и отказ в обслуживании». В ответ Nvidia выпустила патчи в версии 1.17.8 инструментария контейнера и версии 25.3.1 оператора графического процессора.
Nvidia настоятельно рекомендует всем пользователям немедленно обновить свои системы, независимо от того, прямо ли хост -машина подвергается интернету. Компания подчеркивает, что злоумышленники могут получить доступ с помощью различных средств, таких как социальная инженерия, скомпрометированные изображения контейнеров или испорченные репозитории. В случаях, когда немедленные обновления не могут быть возможными, NVIDIA рекомендует отключить enable-cuda-compat Крюк, который является центральным для уязвимости.
Группам безопасности настоятельно рекомендуется определить приоритеты в патч -хосте, которые запускают контейнеры, построенные из ненадежных или общедоступных изображений, особенно в общих средах графических процессоров. Крайне важно понять, что прямое воздействие в Интернете не является предпосылкой для эксплуатации; Злоумышленники могут использовать тактику социальной инженерии или инфильтрацию цепочки поставок для предоставления вредоносных изображений.
Этот инцидент не является изолированным для инструментария контейнера NVIDIA. Ранее, в 2024 году, Wiz Research обнаружило еще один недостаток побега контейнера, CVE-2024-0132, затрагивая тот же инструментарий. Эти повторяющиеся уязвимости подчеркивают более широкую тенденцию: «Старая школа» слабые стороны инфраструктуры, а не теоретические атаки на основе искусственного интеллекта, представляют самые непосредственные и значительные угрозы для систем ИИ. Как отмечала исследовательская группа Wiz, «хотя шумиха вокруг рисков безопасности искусственного интеллекта имеет тенденцию сосредоточиться на футуристических атак на основе искусственного интеллекта, уязвимости инфраструктуры старой школы в постоянно растущей технической стеке искусственного интеллекта остается непосредственной угрозой, которую команды безопасности должны приоритетные».
Source: Nvidia Floud позволяет хакерам ружать ваше облако AI
