Исследователи в области кибербезопасности обнаружили новый способ обхода недавно исправленной уязвимости в NVIDIA Container Toolkit, который позволяет злоумышленникам нарушить изоляцию контейнера и получить полный доступ к хосту. Новая уязвимость получила идентификатор CVE-2025-23359 и оценку 8.3 балла по шкале CVSS.
Ошибка затрагивает следующие версии продуктов:
- NVIDIA Container Toolkit – все версии до 1.17.3 (исправлено в 1.17.4)
- NVIDIA GPU Operator – все версии до 24.9.1 (исправлено в 24.9.2)
Компания NVIDIA в своём официальном уведомлении указала, что проблема связана с уязвимостью TOCTOU (Time-of-Check to Time-of-Use). В стандартной конфигурации атакующий может воспользоваться специально подготовленным контейнерным образом, чтобы получить доступ к файловой системе хоста. Это открывает возможность выполнения произвольного кода, эскалации привилегий, отказа в обслуживании и манипуляций с данными.
Компания Wiz, специализирующаяся на облачной безопасности, раскрыла дополнительные технические детали . Оказалось, что CVE-2025-23359 является обходным методом для ранее исправленной уязвимости CVE-2024-0132 (CVSS: 9.0), закрытой в сентябре 2024 года.
В ходе атаки злоумышленник может смонтировать корневую файловую систему хоста внутрь контейнера, получив полный доступ ко всем данным и процессам. Помимо этого, скомпрометированное окружение позволяет запускать привилегированные контейнеры через Unix-сокеты, что ведёт к полной компрометации хоста.
Исследователи Wiz Шир Тамари, Ронен Шустин и Андрес Рианчо обнаружили, что механизм монтирования файлов в NVIDIA Container Toolkit допускает использование символических ссылок. Это позволяет злоумышленнику подменять пути таким образом, чтобы загружать файлы из корневой директории хоста в контейнер, а затем использовать Unix-сокеты для запуска новых привилегированных контейнеров.
Хотя базовый механизм атаки предоставляет лишь чтение файловой системы хоста, этот барьер можно обойти, используя привилегированные процессы для полного управления системой. Таким образом, атакующие могут перехватывать сетевой трафик, просматривать активные процессы и выполнять другие критически важные операции на хосте.
Пользователям NVIDIA Container Toolkit настоятельно рекомендуется обновиться до последних версий и не отключать флаг “–no-cntlibs” в производственных средах.