Ciberseguridad 360 | Vulnerabilidad en IA de NVIDIA

Investigadores de ciberseguridad han revelado una vulnerabilidad cr�tica de escape de contenedor en NVIDIA Container Toolkit que podr�a suponer una grave amenaza para los servicios gestionados de IA en la nube.

La vulnerabilidad, rastreada como CVE-2025-23266, lleva una puntuaci�n CVSS de 9,0 sobre 10,0. La empresa de seguridad en la nube Wiz, propiedad de Google, le ha dado el nombre en clave de NVIDIAScape.

"NVIDIA Container Toolkit para todas las plataformas contiene una vulnerabilidad en algunos hooks utilizados para inicializar el contenedor, por la que un atacante podr�a ejecutar c�digo arbitrario con permisos elevados", afirma NVIDIA en un aviso sobre el fallo.

"Una explotaci�n exitosa de esta vulnerabilidad podr�a conducir a una escalada de privilegios, manipulaci�n de datos, divulgaci�n de informaci�n y denegaci�n de servicio".

El fallo afecta a todas las versiones de NVIDIA Container Toolkit hasta la 1.17.7 inclusive y a NVIDIA GPU Operator hasta la 25.3.0 inclusive. El fabricante de GPU lo ha corregido en las versiones 1.17.8 y 25.3.1, respectivamente.

NVIDIA Container Toolkit es un conjunto de librer�as y utilidades que permiten crear y ejecutar contenedores Docker acelerados en la GPU. NVIDIA GPU Operator est� dise�ado para desplegar estos contenedores autom�ticamente en nodos de GPU en un cl�ster Kubernetes.

Wiz, que comparti� los detalles de la falla en un an�lisis el jueves, dijo que la deficiencia afecta al 37% de los entornos de nube, lo que permite a un atacante potencialmente acceder, robar o manipular los datos sensibles y los modelos de propiedad de todos los dem�s clientes que se ejecutan en el mismo hardware compartido por medio de un exploit de tres l�neas.

La vulnerabilidad proviene de un error de configuraci�n en la forma en que el kit de herramientas maneja el hook "createContainer" de la Open Container Initiative (OCI). Un exploit exitoso para CVE-2025-23266 puede resultar en una toma completa del servidor. Wiz tambi�n calific� el fallo de "incre�blemente" f�cil de aprovechar.

"Estableciendo LD_PRELOAD en su Dockerfile, un atacante podr�a ordenar al hook nvidia-ctk que cargue una librer�a maliciosa", a�adieron los investigadores de Wiz Nir Ohfeld y Shir Tamari.

"Para empeorar las cosas, el hook createContainer se ejecuta con su directorio de trabajo establecido en el sistema de archivos ra�z del contenedor. Esto significa que la biblioteca maliciosa se puede cargar directamente desde la imagen del contenedor con una simple ruta, completando la cadena del exploit."

Todo esto se puede lograr con un "Dockerfile asombrosamente simple de tres l�neas" que carga el archivo de objetos compartidos del atacante en un proceso privilegiado, lo que resulta en un escape del contenedor.

La revelaci�n se produce un par de meses despu�s de que Wiz detallara un bypass para otra vulnerabilidad en NVIDIA Container Toolkit (CVE-2024-0132, puntuaci�n CVSS: 9,0 y CVE-2025-23359, puntuaci�n CVSS: 8,3) de la que se podr�a haber abusado para lograr la toma completa del host.

"Aunque el bombo publicitario en torno a los riesgos de seguridad de la IA tiende a centrarse en ataques futuristas basados en la IA, las vulnerabilidades de infraestructura de la vieja escuela en la pila tecnol�gica de la IA, en constante crecimiento, siguen siendo la amenaza inmediata que los equipos de seguridad deben priorizar", dijo Wiz.

"Adem�s, esta investigaci�n destaca, no por primera vez, que los contenedores no son una barrera de seguridad s�lida y no se debe confiar en ellos como �nico medio de aislamiento. Cuando se dise�an aplicaciones, especialmente para entornos multi-tenant, siempre se debe "asumir una vulnerabilidad" e implementar al menos una barrera de aislamiento fuerte, como la virtualizaci�n."

Fuente: thehackernews.com