9.0 по CVSS, но всего 3 строки кода. Третья критическая дыра в NVIDIA Container Toolkit за год
NewsMakerДаже один скомпрометированный контейнер даёт доступ к данным всех клиентов на сервере.
Компания Wiz, специализирующаяся на облачной безопасности, выявила опасную уязвимость в NVIDIA Container Toolkit, получившую идентификатор CVE-2025-23266 и оценку 9.0 по шкале CVSS. Проблема, названная NVIDIAScape, может представлять серьёзную угрозу для облачных сервисов, использующих искусственный интеллект и контейнеризацию на базе графических процессоров.
Ошибка затрагивает все версии инструментария NVIDIA Container Toolkit до 1.17.7 включительно, а также NVIDIA GPU Operator до версии 25.3.0. Уязвимость уже устранена в новых релизах 1.17.8 и 25.3.1 соответственно.
Проблема связана с использованием так называемых OCI-хуков, предназначенных для инициализации контейнеров. Один из таких хуков — «createContainer» — используется с ошибочной конфигурацией, что позволяет злоумышленнику загрузить вредоносную библиотеку в момент запуска контейнера.
Суть проблемы заключается в том, что хуки выполняются с повышенными правами и в контексте файловой системы контейнера, что позволяет атакующему внедрить код с минимальными усилиями. Исследователи из Wiz подчеркнули, что для реализации атаки достаточно всего трёх строк в Dockerfile, которые задают переменную LD_PRELOAD и подгружают вредоносную библиотеку. В результате злоумышленник получает возможность не только выйти из контейнера, но и захватить контроль над хост-системой.
Особенно тревожным является тот факт, что уязвимость затрагивает примерно 37% облачных сред, работающих с ИИ. Это означает, что один скомпрометированный контейнер может быть использован для доступа к данным и моделям других клиентов, размещённых на тех же физических серверах. Таким образом, атака может привести к краже интеллектуальной собственности, вмешательству в рабочие процессы и отказу в обслуживании.
Ранее Wiz уже сообщала о двух схожих проблемах в инструментарии NVIDIA — CVE-2024-0132 и CVE-2025-23359 , каждая из которых также позволяла полностью захватить систему. Новая уязвимость ещё раз продемонстрировала, насколько слабым может быть механизм изоляции в контейнерах. По словам команды, использование одних только контейнеров как меры безопасности недопустимо — необходимы дополнительные барьеры, такие как виртуализация, особенно в многоарендных инфраструктурах.
Ситуация с NVIDIAScape поднимает острый вопрос об устойчивости современной инфраструктуры к атакам, где привычные и устаревшие векторы взлома могут оказаться эффективнее гипотетических угроз со стороны ИИ. Проблемы на уровне базовых компонентов, таких как контейнерные хуки, демонстрируют, что внимание к деталям и регулярные обновления остаются ключевыми элементами защиты.
Компания Wiz, специализирующаяся на облачной безопасности, выявила опасную уязвимость в NVIDIA Container Toolkit, получившую идентификатор CVE-2025-23266 и оценку 9.0 по шкале CVSS. Проблема, названная NVIDIAScape, может представлять серьёзную угрозу для облачных сервисов, использующих искусственный интеллект и контейнеризацию на базе графических процессоров.
Ошибка затрагивает все версии инструментария NVIDIA Container Toolkit до 1.17.7 включительно, а также NVIDIA GPU Operator до версии 25.3.0. Уязвимость уже устранена в новых релизах 1.17.8 и 25.3.1 соответственно.
Проблема связана с использованием так называемых OCI-хуков, предназначенных для инициализации контейнеров. Один из таких хуков — «createContainer» — используется с ошибочной конфигурацией, что позволяет злоумышленнику загрузить вредоносную библиотеку в момент запуска контейнера.
Суть проблемы заключается в том, что хуки выполняются с повышенными правами и в контексте файловой системы контейнера, что позволяет атакующему внедрить код с минимальными усилиями. Исследователи из Wiz подчеркнули, что для реализации атаки достаточно всего трёх строк в Dockerfile, которые задают переменную LD_PRELOAD и подгружают вредоносную библиотеку. В результате злоумышленник получает возможность не только выйти из контейнера, но и захватить контроль над хост-системой.
Особенно тревожным является тот факт, что уязвимость затрагивает примерно 37% облачных сред, работающих с ИИ. Это означает, что один скомпрометированный контейнер может быть использован для доступа к данным и моделям других клиентов, размещённых на тех же физических серверах. Таким образом, атака может привести к краже интеллектуальной собственности, вмешательству в рабочие процессы и отказу в обслуживании.
Ранее Wiz уже сообщала о двух схожих проблемах в инструментарии NVIDIA — CVE-2024-0132 и CVE-2025-23359 , каждая из которых также позволяла полностью захватить систему. Новая уязвимость ещё раз продемонстрировала, насколько слабым может быть механизм изоляции в контейнерах. По словам команды, использование одних только контейнеров как меры безопасности недопустимо — необходимы дополнительные барьеры, такие как виртуализация, особенно в многоарендных инфраструктурах.
Ситуация с NVIDIAScape поднимает острый вопрос об устойчивости современной инфраструктуры к атакам, где привычные и устаревшие векторы взлома могут оказаться эффективнее гипотетических угроз со стороны ИИ. Проблемы на уровне базовых компонентов, таких как контейнерные хуки, демонстрируют, что внимание к деталям и регулярные обновления остаются ключевыми элементами защиты.