AI-workloads zijn in trek, en al helemaal op Nvidia-chips. Deze combinatie pakt nu onfortuinlijk uit, want door een kwetsbaarheid stelt Nvidia’s Container Toolkit 35 procent van alle cloudomgevingen bloot.
De kwetsbaarheid in kwestie is CVE-2024-0132. Wiz Research ontdekte de fout in Nvidia’s Container Toolkit, dat AI-applicaties van de benodigde AI-rekenkracht voorziet. Het opereert in combinatie met andere packages om GPU’s te koppelen aan workloads. Organisaties draaien deze oplossing zowel in de cloud als on-prem. Gezien de gigantische aanwezigheid van Nvidia in de wereldwijde AI-stack is Container Toolkit een voor de hand liggende keuze.
Container escape
Om de kwetsbaarheid te exploiteren, is eerst controle over een container image nodig. Er is dus al een ander aanvalspad nodig voordat CVE-2024-0132 een risico vormt. Vervolgens kunnen aanvallers toegang verkrijgen tot het host-systeem, met alle gevolgen van dien. Een dergelijk proces staat bekend als een ‘container escape’.
De manier waarop zo’n container image in een IT-stack belandt, verschilt. Zo kunnen aanvallers een kwaadaardige image toespelen aan een nietsvermoedende gebruiker, waarna het systeem op afstand over te nemen is. Vanuit een overgenomen workstation is het vervolgens mogelijk dat allerlei waardevolle data wordt ontfutseld of er een laterale beweging door de IT-infrastructuur plaatsvindt.
In een cloudomgeving kan de image simpelweg worden geüpload als daar toestemming voor is. Zo staan ook gedeelde omgevingen zoals Kubernetes het toe om Nvidia Container Toolkit te misbruiken.
Actie ondernemen
Wiz Research deelt nog niet alle details over de aanvalsmogelijkheden. Weliswaar is er al een patch beschikbaar (versie 1.16.2), maar de onderzoekers willen organisaties de tijd geven om te patchen voordat de precieze technieken op straat komen. Nvidia heeft al een security-bulletin klaarstaan en stelde zich volgens Wiz Research continu coöperatief op.
Het is nu aan organisaties om stapsgewijs te mitigeren. Specifiek zijn VM’s kwetsbaar als de Nvidia-GPU’s gebruiken met containers via de Nvidia Container Toolkit met images die vanuit een untrusted source komen.
Lees ook: Lek in Arc-browser na een dag verholpen