Cybersicherheitsexperten haben eine kritische Schwachstelle im weit verbreiteten Nvidia Container Toolkit entdeckt, die erhebliche Risiken für Cloud-Umgebungen und KI-Infrastrukturen darstellt. Die als CVE-2024-0132 klassifizierte Sicherheitslücke ermöglicht Angreifern potenziell das Ausbrechen aus Containern und die Übernahme des Host-Systems.
Details zur Sicherheitslücke
Die Schwachstelle, die von Forschern des Unternehmens Wiz aufgedeckt wurde, betrifft Versionen des Nvidia Container Toolkit bis 1.16.1 sowie den Nvidia GPU Operator bis Version 24.6.1. Es handelt sich um eine sogenannte TOCTOU-Schwachstelle (Time-of-check Time-of-Use), die in der Standardkonfiguration auftritt, wenn speziell präparierte Container-Images Zugriff auf das Host-Dateisystem erlangen können.
Laut Nvidia kann eine erfolgreiche Ausnutzung dieser Schwachstelle zu Codeausführung, Denial-of-Service, Privilegienerhöhung, Informationsoffenlegung und Datenmanipulation führen. Die Sicherheitslücke erhielt auf der CVSS-Skala einen kritischen Wert von 9,0, was die Schwere der Bedrohung unterstreicht.
Weitreichende Auswirkungen auf Cloud-Umgebungen
Die Forscher von Wiz schätzen, dass mehr als 35% der Cloud-Umgebungen, die Nvidia GPUs nutzen, von dieser Schwachstelle betroffen sein könnten. Angesichts der weiten Verbreitung von Nvidia-GPU-Lösungen sowohl in Cloud- als auch in On-Premises-KI-Operationen hat das Unternehmen beschlossen, keine Details zur Ausnutzung der Schwachstelle zu veröffentlichen, um Organisationen mehr Zeit für die Implementierung von Patches zu geben.
Risiken für Multi-Tenant-Umgebungen
Die Schwachstelle ist besonders gefährlich in orchestrierten Multi-Tenant-Umgebungen, in denen GPUs von mehreren Workloads gemeinsam genutzt werden. In solchen Szenarien könnten Angreifer einen bösartigen Container einschleusen, aus diesem ausbrechen und dann Host-System-Geheimnisse nutzen, um auf benachbarte Workloads zuzugreifen. Dies stellt eine erhebliche Bedrohung für Cloud-Service-Provider wie Hugging Face und SAP AI Core dar.
Risiken für Single-Tenant-Umgebungen
Auch Single-Tenant-Umgebungen sind nicht immun gegen diese Bedrohung. Ein Benutzer, der unwissentlich ein bösartiges Container-Image aus einer nicht vertrauenswürdigen Quelle herunterlädt, könnte versehentlich Angreifern Zugang zu seiner lokalen Workstation gewähren.
Technische Ursache und Auswirkungen
Der Kern des Problems liegt im Nvidia Container Toolkit und GPU Operator, die es KI-Anwendungen ermöglichen, in Container-Umgebungen auf GPU-Ressourcen zuzugreifen. Während dies für die Optimierung der GPU-Leistung bei KI-Workloads notwendig ist, eröffnet es Angreifern mit Kontrolle über ein Container-Image die Möglichkeit, aus dem Container auszubrechen und vollen Zugriff auf das Host-System zu erlangen.
Die Konsequenzen einer erfolgreichen Ausnutzung von CVE-2024-0132 können von der Kompromittierung einzelner KI-Workloads bis hin zum Zugriff auf ganze Cluster sensibler Daten reichen, insbesondere in Kubernetes-Umgebungen. Diese Schwachstelle stellt ein erhebliches Risiko für Organisationen dar, die Container-Images von Drittanbietern verwenden oder externen Benutzern das Bereitstellen von KI-Modellen erlauben.
Angesichts der Schwere dieser Sicherheitslücke wird allen betroffenen Organisationen dringend empfohlen, ihre Nvidia Container Toolkit- und GPU Operator-Installationen umgehend zu aktualisieren. Zusätzlich sollten verstärkte Sicherheitsmaßnahmen wie Zugriffskontrollen, Netzwerksegmentierung und kontinuierliches Monitoring implementiert werden, um potenzielle Ausnutzungsversuche zu erkennen und zu verhindern. Die Sicherheit von KI-Infrastrukturen muss angesichts der zunehmenden Bedeutung und Verbreitung dieser Technologien höchste Priorität haben.