Vulnerabilità nel NVIDIA Container Toolkit: patch incompleta e rischi per la sicurezza
I ricercatori di cybersecurity hanno recentemente scoperto una patch incompleta per una vulnerabilità di sicurezza precedentemente affrontata nel NVIDIA Container Toolkit. Questa falla, se sfruttata con successo, potrebbe mettere a rischio dati sensibili. La vulnerabilità originale, identificata come CVE-2024-0132 con un punteggio CVSS di 9.0, è un problema di tipo Time-of-Check Time-of-Use (TOCTOU) che potrebbe portare a un attacco di fuga dal container, consentendo l’accesso non autorizzato al sistema host sottostante.
Sebbene NVIDIA avesse risolto questo problema a settembre 2024, una nuova analisi condotta da Trend Micro ha rivelato che la correzione è stata incompleta. Inoltre, è stato individuato un problema di prestazioni correlato che interessa Docker su Linux, il quale potrebbe causare una condizione di denial-of-service (DoS).
Dettagli tecnici e impatti della vulnerabilità
La persistenza della vulnerabilità TOCTOU significa che un container appositamente creato potrebbe essere sfruttato per accedere al file system dell’host ed eseguire comandi arbitrari con privilegi di root. Questo problema riguarda la versione 1.17.4 se la funzione allow-cuda-compat-libs-from-container è esplicitamente abilitata.
Secondo Trend Micro, il difetto specifico risiede nella funzione mount_files. Il problema deriva dalla mancanza di un blocco adeguato durante l’esecuzione di operazioni su un oggetto. Un attaccante potrebbe sfruttare questa vulnerabilità per escalation dei privilegi ed eseguire codice arbitrario nel contesto dell’host. Tuttavia, per far funzionare questa escalation di privilegi, l’attaccante deve aver già ottenuto la capacità di eseguire codice all’interno di un container.
Nuove scoperte e raccomandazioni
Il difetto è stato assegnato l’identificativo CVE-2025-23359 con un punteggio CVSS di 9.0, precedentemente segnalato dalla società di sicurezza cloud Wiz come un bypass per CVE-2024-0132 nel febbraio 2025. È stato affrontato nella versione 1.17.4.
Durante l’analisi del CVE-2024-0132, la società di cybersecurity ha anche scoperto un problema di prestazioni che potrebbe portare a una vulnerabilità DoS sulla macchina host. Questo problema riguarda le istanze Docker su sistemi Linux.
Quando viene creato un nuovo container con più mount configurati utilizzando (bind-propagation=shared), vengono stabiliti più percorsi genitore/figlio. Tuttavia, le voci associate non vengono rimosse nella tabella dei mount di Linux dopo la terminazione del container. Questo porta a una crescita rapida e incontrollabile della tabella dei mount, esaurendo i descrittori di file disponibili (fd). Alla fine, Docker non è in grado di creare nuovi container a causa dell’esaurimento dei fd. Questa tabella dei mount eccessivamente grande porta a un enorme problema di prestazioni, impedendo agli utenti di connettersi all’host (ad esempio, tramite SSH).
Misure di mitigazione consigliate
Per mitigare il problema, si consiglia di monitorare la tabella dei mount di Linux per una crescita anomala, limitare l’accesso all’API Docker al personale autorizzato, applicare politiche di controllo degli accessi rigorose e condurre audit periodici dei binding del file system container-to-host, dei mount dei volumi e delle connessioni socket.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!