Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Schwere Sicherheitslücke im NVIDIA Container Toolkit reaktiviert

Eine neue Angriffstechnik umgeht den Patch einer früheren Schwachstelle im NVIDIA Container. Das Brisante: Angreifer können über die neue Schwachstelle die Schutzmechanismen eines Containers durchbrechen und die vollständige Kontrolle über das darunterliegende System erlangen. Inzwischen hat NVIDIA auch die neue Lücke geschlossen.

Bedrohungen
Lesezeit 1 Min.

Die neue Sicherheitslücke trägt die Kennung CVE-2025-23359 und erreicht einen CVSS-Wert von 8,3 (von 10). Betroffen sind:

  • NVIDIA Container Toolkit (alle Versionen bis einschließlich 1.17.3, behoben in Version 1.17.4)
  • NVIDIA GPU Operator (alle Versionen bis einschließlich 24.9.1, behoben in Version 24.9.2)

Laut NVIDIA liegt die Ursache in einer sogenannten TOCTOU-Schwachstelle (Time-of-Check Time-of-Use). Diese ermöglicht es einem manipulierten Container, auf das Dateisystem des Hosts zuzugreifen. Mögliche Folgen sind Code-Ausführung, Denial-of-Service-Angriffe, Ausweitung von Benutzerrechten, Datenlecks und Manipulationen.

Das Sicherheitsunternehmen Wiz erklärt, dass es sich bei dieser neuen Schwachstelle um eine geschickte Umgehung des Patches einer älteren Sicherheitslücke handelt (CVE-2024-0132, CVSS-Wert 9,0), den NVIDIA bereits im September 2024 veröffentlicht hatte.

Die neue Lücke ermöglicht es Angreifern, das gesamte Haupt-Dateisystem (Root-Dateisystem) des Host-Computers in den Container einzubinden. Dadurch erhalten sie Zugriff auf alle Dateien, laufende Prozesse und den Netzwerkverkehr.

Wie funktioniert das? Die Angreifer nutzen eine Tricktechnik mit symbolischen Links: Sie manipulieren die Dateipfade im Container so, dass das System denkt, es greift auf eine interne Datei zu – in Wahrheit wird aber ein Bereich außerhalb des Containers, nämlich das wichtige Systemverzeichnis „/usr/lib64“, eingebunden.

Anfangs ist der Zugriff auf das Hauptsystem nur lesend. Doch die Angreifer umgehen diese Einschränkung, indem sie über eine besondere Verbindung, die Unix-Sockets, neue Container mit höchsten Rechten starten. Diese speziellen Container haben dann vollen Lese- und Schreibzugriff – die Angreifer können Daten verändern, Prozesse steuern und das gesamte System kontrollieren.

Empfehlung

  • Unbedingt auf die neuesten Versionen aktualisieren: NVIDIA Container Toolkit 1.17.4 und GPU Operator 24.9.2.
  • In Produktionsumgebungen die Option „–no-cntlibs“ nicht deaktivieren, um weiteren Missbrauch zu verhindern.

Diese Sicherheitslücke zeigt erneut, wie wichtig regelmäßige Updates und sichere Konfigurationen in Container-Umgebungen sind.

 

Weitere Artikel:

Handle with Care!

OracleIV DDoS-Botnet kapert Docker-Container

 

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.