Nueva vulnerabilidad en NVIDIA Container Toolkit

Iniciado por Dragora, Abril 10, 2025, 01:05:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 10, 2025, 01:05:35 PM

Investigadores de ciberseguridad han identificado un parche incompleto para la vulnerabilidad CVE-2024-0132 en NVIDIA Container Toolkit, lo que deja expuestos datos confidenciales y permite ataques de escape de contenedores en sistemas Linux con Docker.

Detalles de la vulnerabilidad CVE-2025-23359

📌 Clasificación: Vulnerabilidad de tiempo de verificación y tiempo de uso (TOCTOU).
📌 Puntuación CVSS: 9.0 (crítica).
📌 Versión afectada: NVIDIA Container Toolkit 1.17.4.
📌 Condición de explotación: La opción allow-cuda-compat-libs-from-container debe estar activada.

Impacto:

  • Permite a los atacantes escalar privilegios y ejecutar código con permisos de root en el host.
  • Puede explotarse para acceder al sistema de archivos del host.
  • Afecta entornos Docker en Linux, generando riesgos adicionales.

Fallos en la mitigación de NVIDIA y nuevo riesgo de denegación de servicio (DoS)

En septiembre de 2024, NVIDIA lanzó un parche para CVE-2024-0132, pero un análisis reciente de Trend Micro y Wiz reveló que la corrección es incompleta, permitiendo aún la explotación del fallo.

Además, los investigadores han descubierto un problema de rendimiento que podría llevar a una denegación de servicio (DoS) en máquinas host con Docker en Linux.

Cómo ocurre el problema de DoS en Docker:

✔️ Se crean múltiples montajes con bind-propagation=shared.
✔️ No se eliminan las entradas en la tabla de montaje de Linux tras la finalización del contenedor.
✔️ Esto provoca un crecimiento incontrolado de la tabla de montaje, agotando los descriptores de archivos (fd).
✔️ Resultado: Docker deja de funcionar y los usuarios pierden acceso al sistema host, incluso a través de SSH.

Recomendaciones para mitigar los riesgos

Para reducir el impacto de estas vulnerabilidades en NVIDIA Container Toolkit y Docker en Linux, se recomienda:

🔹 Supervisar la tabla de montaje de Linux para detectar crecimientos anormales.
🔹 Restringir el acceso a la API de Docker solo a personal autorizado.
🔹 Aplicar políticas de control de acceso sólidas para evitar la ejecución de código malicioso.
🔹 Auditar regularmente los enlaces entre el sistema de archivos del contenedor y el host, los montajes de volumen y las conexiones de socket.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario