Безопасность Контейнеров / Уязвимость
Исследователи в области кибербезопасности описали случай неполной заплатки для ранее выявленной уязвимости в NVIDIA Container Toolkit, которая может подвергнуть риску конфиденциальные данные в случае успешной эксплуатации.
Исходная уязвимость CVE-2024-0132 (оценка CVSS: 9.0) представляет собой уязвимость типа Time-of-Check Time-of-Use (TOCTOU), что может привести к атаке с побегом из контейнера и несанкционированному доступу к хост-системе.
Хотя NVIDIA исправила эту проблему в сентябре 2024 года, новое исследование от Trend Micro показало, что исправление оказалось неполным и существует также связанная проблема с производительностью, влияющая на Docker в Linux, что может привести к состоянию отказа в обслуживании (DoS).
«Эти проблемы могут позволить злоумышленникам обходить изоляцию контейнеров, получать доступ к конфиденциальным ресурсам хоста и вызывать серьезные сбои в операционной деятельности», — заявил исследователь Trend Micro Абдельрахман Эсмаил в новом отчете, опубликованном сегодня.
Сохранение уязвимости TOCTOU означает, что специально подготовленный контейнер может быть использован для доступа к файловой системе хоста и выполнения произвольных команд с правами суперпользователя. Эта проблема затрагивает версию 1.17.4, если функция allow-cuda-compat-libs-from-container явно включена.
«Конкретная уязвимость существует в функции mount_files», — сообщила компания Trend Micro. «Проблема возникает из-за отсутствия надлежащей блокировки при выполнении операций с объектом. Злоумышленник может использовать эту уязвимость для повышения привилегий и выполнения произвольного кода в контексте хоста.»
Тем не менее, для успешной эскалации привилегий злоумышленник уже должен иметь возможность выполнять код внутри контейнера.
Недостаток получил идентификатор CVE-2025-23359 (оценка CVSS: 9.0), который ранее был отмечен облачной безопасной фирмой Wiz как обход для CVE-2024-0132 в феврале 2025 года. Он был исправлен в версии 1.17.4.
Кибербезопасная компания также выявила проблему с производительностью в ходе анализа CVE-2024-0132, которая потенциально может привести к уязвимости DoS на хост-машине, затрагивая экземпляры Docker на системах Linux.
«Когда создается новый контейнер с несколькими монтированиями, настроенными с использованием (bind-propagation=shared), устанавливаются несколько родительских и дочерних путей. Однако связанные записи не удаляются из таблицы монтирования Linux после завершения работы контейнера», — отметил Эсмаил.
«Это приводит к быстрому и неконтролируемому росту таблицы монтирования, исчерпывающему доступные файловые дескрипторы. В итоге Docker не может создавать новые контейнеры из-за исчерпания дескрипторов. Чрезмерно большая таблица монтирования вызывает серьезные проблемы с производительностью, препятствуя пользователям подключаться к хосту (например, через SSH).»
Для решения этой проблемы рекомендуется следить за таблицей монтирования Linux на предмет аномального увеличения, ограничить доступ к API Docker для авторизованных пользователей, применять строгие политики контроля доступа, а также проводить периодические проверки привязок файловой системы контейнера к хосту, монтирования томов и сокетных соединений.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Вы также можете найти наши материалы в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru