漏洞概述
趋势科技研究发现,NVIDIA在2024年9月针对容器工具包关键漏洞(CVE-2024-0132)发布的安全更新存在缺陷,可能导致容器逃逸攻击。同时发现影响Linux系统Docker的拒绝服务(DoS)漏洞,攻击者可利用这些漏洞访问主机敏感数据或耗尽系统资源。
技术细节
-
CVE-2024-0132补丁缺陷
- 时间竞争条件(TOCTOU)漏洞仍存在于NVIDIA容器工具包中,允许特制容器访问主机文件系统
- 默认配置下1.17.3及更早版本均受影响,1.17.4版本需显式启用
allow-cuda-compat-libs-from-container功能才存在风险
-
Docker拒绝服务漏洞
- 当容器配置多挂载点(bind-propagation=shared)时,Linux挂载表会无限增长
- 最终导致文件描述符耗尽,主机SSH连接中断等严重性能问题
攻击场景
攻击者可通过以下步骤实现容器逃逸:
- 创建包含恶意卷符号链接的容器镜像
- 通过供应链攻击或社会工程在受害者平台运行镜像
- 利用竞争条件获取主机文件系统访问权限
- 通过容器运行时Unix套接字执行任意root命令
防护建议
- 严格限制Docker API访问权限
- 禁用NVIDIA容器工具包非必要功能
- 实施容器镜像准入控制策略
- 监控Linux挂载表异常增长
- 部署运行时异常检测工具
趋势科技解决方案
趋势Vision One™平台提供以下检测能力:
- 观测攻击技术(OAT):XSAE.F8306等规则
- 工作负载行为(WB)检测:可疑容器创建等行为
- 容器安全模块可阻断含漏洞镜像部署
图1-6展示了趋势Vision One的漏洞检测界面和告警示例(原文包含具体截图说明,此处从略)
完整补丁仍是首选解决方案,但在复杂生产环境中,趋势科技提供的运行时检测和预防措施可有效降低风险。平台已集成对CVE-2024-0132及新发现漏洞的检测能力,覆盖从构建到运行的全生命周期防护。