Eine hochkritische Sicherheitslücke im Nvidia Container Toolkit stellt eine erhebliche Bedrohung für Cloud-basierte KI-Services dar. Die von Sicherheitsforschern des Unternehmens Wiz entdeckte Schwachstelle CVE-2025-23266, bekannt als NvidiaScape, erhielt einen CVSS-Score von 9,0 und ermöglicht es Angreifern, Container-Isolation zu umgehen und vollständigen Root-Zugriff auf Host-Systeme zu erlangen.
Technische Details der CVE-2025-23266 Schwachstelle
Die Sicherheitslücke basiert auf einer fehlerhaften Verarbeitung von Open Container Initiative (OCI) Hooks im Nvidia Container Toolkit. Diese Hooks sind kritische Mechanismen, die während verschiedener Phasen des Container-Lebenszyklus ausgeführt werden und normalerweise für die ordnungsgemäße Initialisierung von GPU-Ressourcen sorgen.
Betroffen sind alle Versionen des Nvidia Container Toolkit bis einschließlich 1.17.7 sowie der GPU Operator bis Version 25.3.0. Nvidia reagierte umgehend auf die Bedrohung und veröffentlichte Sicherheitspatches in den Versionen 1.17.8 und 25.3.1, die die kritische Schwachstelle beheben.
Bedrohungspotenzial für Multi-Tenant-Umgebungen
Besonders gefährdet sind verwaltete KI-Services in Cloud-Umgebungen, wo mehrere Kunden gemeinsam GPU-Infrastrukturen nutzen. Cyberkriminelle können speziell präparierte Container verwenden, um die Sicherheitsgrenzen zwischen verschiedenen Kundeninstanzen zu durchbrechen und unbefugten Zugriff auf sensible Daten zu erlangen.
Die erfolgreiche Ausnutzung von NvidiaScape kann zu folgenden Sicherheitsvorfällen führen:
• Diebstahl vertraulicher Kundendaten aus isolierten Containern
• Manipulation proprietärer KI-Modelle und Trainingsalgorithmen
• Denial-of-Service-Angriffe gegen kritische GPU-Infrastrukturen
• Datenmanipulation in Multi-Tenant-Kubernetes-Clustern
Erfolgreiche Demonstration bei Pwn2Own Berlin 2025
Die Schwachstelle wurde erstmals öffentlich auf dem renommierten Pwn2Own Berlin Hacking-Wettbewerb 2025 demonstriert. Das Wiz-Forscherteam bewies die Ausnutzbarkeit der Schwachstelle mit einem minimalen, nur drei Zeilen umfassenden Docker-File, das eine bösartige Payload enthielt. Diese beeindruckende Demonstration brachte dem Team eine Belohnung von 30.000 US-Dollar ein.
Sofortmaßnahmen und Sicherheitsempfehlungen
Nvidia veröffentlichte umgehend ein Security Advisory mit detaillierten Informationen zu verfügbaren Patches. IT-Administratoren sollten unverzüglich auf die gepatchten Versionen upgraden, um ihre Systeme vor potenziellen Angriffen zu schützen.
Die Wiz-Sicherheitsexperten betonen eine fundamentale Erkenntnis: Container-Isolation allein bietet keinen ausreichenden Schutz für hochsensible Workloads. Besonders in Multi-Tenant-Umgebungen sollten zusätzliche Sicherheitsebenen wie Hardware-Virtualisierung oder dedizierte Compute-Instanzen implementiert werden.
Langfristige Sicherheitsstrategien für Container-Umgebungen
Der NvidiaScape-Vorfall unterstreicht die Notwendigkeit einer Defense-in-Depth-Strategie für moderne Container-Infrastrukturen. Organisationen sollten regelmäßige Sicherheitsaudits ihrer Container-Plattformen durchführen und nicht ausschließlich auf Container-Level-Isolation vertrauen, insbesondere bei der Verarbeitung kritischer KI-Workloads.
Diese Schwachstelle verdeutlicht, wie wichtig kontinuierliche Sicherheitsüberwachung und zeitnahe Patch-Implementierung in der sich schnell entwickelnden Landschaft der KI-Cloud-Services sind. Unternehmen, die GPU-beschleunigte Container-Workloads einsetzen, sollten ihre Sicherheitsrichtlinien überprüfen und mehrstufige Isolationskonzepte implementieren, um sich vor ähnlichen Bedrohungen zu schützen.
