发生了什么?
该漏洞源于**检查时间-使用时间(TOCTOU)**问题,这是一种竞态条件。当NVIDIA的容器工具设置为默认配置时,攻击者可以通过使用特制的容器镜像来利用这一漏洞。这使得攻击者能够访问底层主机系统,绕过安全控制。
该漏洞影响NVIDIA容器工具包的所有版本,直至v1.16.1,以及NVIDIA GPU操作器的所有版本,直至v24.6.1。幸运的是,NVIDIA已经发布了修复版本——容器工具包的v1.16.2和GPU操作器的v24.6.2。这些更新解决了漏洞,对于防止AI和云环境中的潜在攻击至关重要。
关键要点
- CVE-2024-0132是一个影响NVIDIA容器工具包和GPU操作器的严重漏洞,CVSS评分为9.0。
- 它通过检查时间-使用时间(TOCTOU)漏洞允许未经授权访问主机系统,可能导致严重后果,如代码执行和权限提升。
- 该漏洞影响NVIDIA容器工具包的所有版本,直至v1.16.1,以及GPU操作器的所有版本,直至v24.6.1。
- 已发布修复版本v1.16.2(容器工具包)和v24.6.2(GPU操作器),建议各组织立即更新系统。
深入分析
CVE-2024-0132的严重性突显了云和AI基础设施中日益增长的网络安全挑战,特别是在使用容器化环境的情况下。这一漏洞在多租户云设置中可能尤其具有破坏性,多个应用程序共存于同一硬件上,常见于Kubernetes集群中。攻击者可以通过运行恶意容器镜像来利用这一漏洞,获取敏感数据,如加密密钥或其他共享节点应用程序的秘密。
在单租户环境中,风险也存在,特别是如果用户无意中下载了恶意容器镜像。然而,最高风险在于基于云的AI工作负载,其中容器经常部署,通常使用不受信任的第三方镜像或AI模型。
尽管容器设备接口(CDI)未受影响,但使用NVIDIA容器技术的大多数环境在系统修复前都面临风险。这一漏洞提醒企业保持强大的安全态势,并实施最佳实践,如隔离工作负载、定期评估安全配置和监控异常活动。
建议
- 立即修复:所有使用受影响版本的企业必须升级到NVIDIA容器工具包的v1.16.2和GPU操作器的v24.6.2。
- 风险管理:高风险环境,如运行不受信任AI模型的Kubernetes集群,应确保加强安全监控和容器隔离。
- 持续安全审计:企业应定期进行安全审计,并实施持续监控工具以检测潜在的攻击尝试。
你知道吗?
这不是2024年NVIDIA产品中发现的第一个重大安全漏洞。随着公司扩展到AI和云计算领域,NVIDIA技术的漏洞数量增加,今年已披露了超过60个安全漏洞。一个显著的例子是CVE-2024-0090,这是一个高严重性漏洞,影响Windows和Linux系统,允许代码执行和权限提升。
漏洞的增加部分是由于NVIDIA在AI基础设施和云计算中的突出角色,其GPU的使用越来越广泛。这种更广泛的应用扩大了其攻击面,吸引了合法研究人员和恶意行为者。使用NVIDIA产品的企业不仅应立即修复,还应采取更强的网络安全措施,如隔离高风险环境和培训IT团队应对最新威胁。
总之,CVE-2024-0132是一个具有深远影响的严重漏洞,对云和AI工作负载构成重大威胁,企业必须迅速行动以确保其系统得到保护。