NVIDIA容器漏洞与Kubernetes加固机遇
一个涉及NVIDIA容器工具包的容器逃逸漏洞可能使威胁行为者能够跨租户访问AI数据集。
亚历山大·库拉菲,Dark Reading高级新闻撰稿人
2025年7月10日
4分钟阅读时间
图片来源:通过Alamy Stock Photo提供的Postmodern Studio
漏洞背景
在8月6日拉斯维加斯的Black Hat USA大会上,Wiz研究人员将主持"突破AI牢笼:利用NVIDIA漏洞攻陷AI提供商"的专题会议。该演讲基于供应商去年9月发布的研究,重点关注CVE-2024-0132——一个NVIDIA容器工具包的时差检查(TOCTOU)漏洞,该漏洞可能使使用该流行开源组件的AI和云提供商遭受容器逃逸攻击。
该组件是AI供应商用于容器化许多流行应用的通用工具,该漏洞(CVSS评分9/10)如果被利用,可能允许攻击者访问(取决于环境)跨租户的AI模型和数据集等资源。正如CVE页面指出的,攻击可能导致"代码执行、拒绝服务(DoS)、权限提升、信息泄露和数据篡改"。
影响范围
尽管多个容器运行时受到影响,但Kubernetes尤其脆弱,因为该漏洞还影响了NVIDIA GPU Operator——一个用于自动部署和管理容器工具包的Kubernetes操作器。在某些情况下,利用CVE-2024-0132能够完全攻陷跨多个租户共享的目标Kubernetes集群。
此外,还有一个次要但相关的DoS漏洞(追踪为CVE-2025-23359)也已被相关供应商缓解和/或修复,但从中汲取的教训仍然具有重要意义。
技术细节深入分析
据Wiz安全研究人员兼会议主讲人Hillai Ben-Sasson和Andres Riancho向Dark Reading透露,该漏洞易于利用。Riancho解释说,对于某些供应商,利用该漏洞仅需一至两小时,涉及在容器化应用内创建特制的恶意镜像,然后使用其挂载整个主机系统。
正如Wiz在2月份的技术深度分析中解释的:“该漏洞使恶意攻击者能够将主机的根文件系统挂载到容器中,从而获得对主机所有文件的无限制访问权限。此外,通过访问主机的容器运行时Unix套接字,攻击者可以启动特权容器并实现完全主机控制。”
真实案例研究
与之前对CVE-2024-0132的分析相比,Black Hat会议将深入探讨Wiz测试该漏洞的两个案例研究:AI软件开发供应商Replicate和云基础设施提供商DigitalOcean。
通过这些案例研究,Ben-Sasson、Riancho以及Wiz研究员Ronen Shustin将详细讲解攻击的工作原理,以及小型安全防护措施对防止攻击者横向移动和访问敏感数据的影响。
Riancho表示:“我们将分享一些真实案例研究,说明我们如何利用同一漏洞入侵知名云提供商,每个案例的不同之处,我们能够实现的目标,以及人们可以从中为自己的环境学到什么。”
防御措施建议
对防御者而言更相关的是,Ben-Sasson和Riancho强调了三个小的、Kubernetes特定的配置更改如何(用Riancho的话说)充当"最烦人的安全控制措施",阻止试图进入目标环境的攻击者。这些控制措施如果在容器化环境中实施,将不允许威胁行为者或攻击性安全研究人员实现高影响攻击。
关键防护措施
-
使用用户命名空间(User Namespaces)
防御者应利用用户命名空间,这是一个仍处于测试阶段的新功能,允许容器以与主机不同的用户身份运行,限制容器的更大权限,并在容器和主机之间添加额外的隔离层。 -
实施网络策略(Network Policies)
第二个更改是使用网络策略,虽然运行应用程序并不严格要求,但能使整个环境更加安全。这使用户能够建立集群内流量流动规则,并确定pod允许联系的网络实体。 -
限制Kubelet权限
最后,组织应确保每个Kubelet(在Kubernetes中运行每个节点的代理)上的权限得到充分限制。
Riancho解释说:“每个Kubelet都有一组凭据。这些凭据具有连接到Kube API的权限,在某些情况下,我们发现权限过多,这使我们能够执行更多功能,在某些情况下实现完全服务接管。通过限制授予Kubelet的权限,将限制我们在Kubernetes集群内进行权限升级的潜力。”
正如Ben-Sasson所说:“在宏观层面上,这一切都归结为拥有多个既强大又彼此不同的屏障。因此,当你的第一道防线被绕过时,绕过其余防线仍然很困难。”