Специалисты по кибербезопасности обнаружили опасную уязвимость, которая позволяет вырваться за пределы контейнера в NVIDIA Container Toolkit. Злоумышленники могут использовать это, чтобы взламывать ключевые облачные сервисы, где работает искусственный интеллект.
Уязвимость CVE-2025-23266, которой присвоена высокая оценка опасности — 9.0 из 10 по шкале CVSS, уже получила название NVIDIAScape от исследователей облачной безопасности.
NVIDIAScape
«Во всех версиях NVIDIA Container Toolkit выявлена проблема в системе запуска контейнеров, с помощью которой злоумышленник может выполнить любой код с правами администратора», — говорится в официальном сообщении NVIDIA.
Если атака пройдет успешно, хакер получает полный контроль над системой: может увеличивать себе права, менять или скачивать чужие данные, а также полностью нарушить работу сервиса.
Уязвимость затрагивает все сборки NVIDIA Container Toolkit до 1.17.7 включительно и NVIDIA GPU Operator до 25.3.0. Разработчики уже выпустили обновления — версии 1.17.8 и 25.3.1 защищены от атаки.
NVIDIA Container Toolkit — набор утилит и библиотек для запуска и создания Docker-контейнеров с поддержкой графических ускорителей. NVIDIA GPU Operator автоматически размещает такие контейнеры на GPU-узлах в Kubernetes-кластерах.
По данным Wiz, из-за этой брешь сейчас под ударом находятся 37% всей облачной инфраструктуры: злоумышленник может получить доступ к личным данным и уникальным ИИ-моделям других пользователей, если они работают на одном сервере. Для атаки хватает всего трёх строчек кода в эксплойте!
В основе уязвимости — ошибочные настройки запуска Open Container Initiative (OCI) hook с параметром "createContainer". Получив доступ, хакер может полностью захватить управление сервером, причём осуществить такую атаку способен даже не слишком опытный пользователь — всё реализовано крайне просто.
«Добавив LD_PRELOAD в Dockerfile, злоумышленник может заставить nvidia-ctk подгрузить вредоносную библиотеку», — объясняют эксперты Wiz.
Проблема усугубляется тем, что createContainer стартует из корневого каталога контейнера. Это означает, что вредоносную библиотеку легко встроить прямо в сам образ, завершив взлом буквально за секунды.
Вся атака сводится к трём строкам в Dockerfile — они позволяют загрузить чужую библиотеку с максимальными правами и выйти из среды контейнера наружу.
Такие инциденты для NVIDIA не редкость: буквально несколько месяцев назад в Wiz находили схожие дыры в NVIDIA Container Toolkit (CVE-2024-0132 с той же критичной оценкой 9.0 и CVE-2025-23359 с баллом 8.3), с помощью которых тоже можно было получить полный контроль над сервером.
«Пока все обсуждают абстрактные опасности ИИ будущего, реальные угрозы кроются в старых уязвимостях инфраструктуры современных облачных платформ. Именно на это нужно срочно обратить внимание», — подчёркивают эксперты.
«Этот инцидент вновь подтверждает: контейнеры не являются надёжным барьером, их нельзя рассматривать как единственную защиту. Если вы разрабатываете приложения для облака, особенно многопользовательского — всегда исходите из того, что граница может быть прорвана, и внедряйте дополнительные уровни изоляции, такие как виртуальные машины».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru