Wiz의 사이버 보안 연구원들은 NVIDIA 컨테이너 툴킷 내에서 NVIDIASCAPE (CVE-2025-23266)라고 불리는 중요한 취약점을 확인했습니다. CVSS 심각도 척도에서 9.0 (중요) 등급 의이 결함을 통해 공격자는 컨테이너 분리를 우회하고 기본 호스트 머신에 대한 루트 액세스를 달성 할 수 있습니다.
취약점은 최대 1.17.7의 NVIDIA 컨테이너 툴킷의 모든 버전과 최대 25.3.0의 NVIDIA GPU 운영자 버전에 영향을 미칩니다. GPU 운영자는 Kubernetes 클러스터 내에서 GPU 컨테이너를 관리하는 데 널리 사용됩니다.
이 발견에서 발생하는 중요한 관심사는 관리되는 AI 클라우드 서비스에 대한 잠재적 영향입니다. 다양한 사용자가 GPU 인프라를 공유하는 이러한 멀티 테넌트 환경에서는 단일 손상된 컨테이너가 동일한 시스템에 다른 사용자의 데이터와 모델을 노출시킬 수 있습니다. Wiz는 클라우드 환경의 약 37%가 주요 클라우드 제공 업체가 관리하는 것들을 포함 하여이 결함에 취약한 것으로 추정합니다.
NVIDIASCAPE의 기술적 근본은 NVIDIA 컨테이너 툴킷이 OCI (Open Container Initiative) 고리를 처리하는 방법에 있습니다. createContainer 훅. 이 특정 후크는 컨테이너 이미지에서 직접 환경 변수를 상속하여 악용 가능한 벡터를 나타냅니다. 공격자는 설정하여이를 활용할 수 있습니다 LD_PRELOAD Dockerfile 내에서 환경 변수 및 악성을 포함시킵니다 .so 파일. 이를 통해 호스트 시스템에서 실행되는 권한있는 프로세스에 임의 코드를 주입 할 수 있습니다.
NVIDIA는 보안 게시판의 취약점을 인정하여“권한 에스컬레이션, 데이터 변조, 정보 공개 및 서비스 거부”등의 잠재적 결과에 대한 경고를 인정했습니다. 이에 따라 NVIDIA는 컨테이너 툴킷의 1.17.8 버전과 GPU 연산자 버전 25.3.1에서 패치를 발표했습니다.
NVIDIA는 호스트 머신이 인터넷에 직접 노출되어 있는지 여부에 관계없이 모든 사용자에게 모든 시스템을 즉시 업그레이드하도록 권장합니다. 이 회사는 공격자가 사회 공학, 손상된 컨테이너 이미지 또는 오염 된 저장소와 같은 다양한 수단을 통해 접근 할 수 있다고 강조합니다. 즉각적인 업그레이드가 가능하지 않은 경우 Nvidia는 enable-cuda-compat 취약점의 중심 인 Hook.
보안 팀은 특히 공유 GPU 환경 내에서 신뢰할 수 없거나 공개적으로 사용 가능한 이미지로 제작 된 컨테이너를 실행하는 패치 호스트의 우선 순위를 정해야합니다. 직접적인 인터넷 노출은 착취를위한 전제 조건이 아니라는 것을 이해하는 것이 중요합니다. 공격자는 사회 공학 전술 또는 공급망 침투를 활용하여 악의적 인 이미지를 제공 할 수 있습니다.
이 사건은 NVIDIA 컨테이너 툴킷의 고립 된 사건이 아닙니다. 2024 년 초, Wiz Research는 또 다른 컨테이너 탈출 결함 인 CVE-2024-0132를 발견하여 동일한 툴킷에 영향을 미쳤습니다. 이러한 반복적 인 취약점은 이론적 인 AI 기반 공격보다는“구식”인프라 약점과 같은 광범위한 추세를 강조합니다. WIZ 리서치 팀은“AI 보안 위험에 대한 과대 광고는 미래의 AI 기반 공격에 중점을 둔 경향이 있지만 AI 기술 스택에서“구식”인프라 취약점은 보안 팀이 우선 순위를 정해야 할 즉각적인 위협으로 남아 있습니다.”
