Исследователи компании Wiz выявили серьезную брешь в системе безопасности Nvidia Container Toolkit, которая может поставить под угрозу целостность облачных сервисов искусственного интеллекта. Уязвимость NvidiaScape (CVE-2025-23266) получила максимальный балл критичности 9,0 по шкале CVSS, что свидетельствует о чрезвычайной важности немедленного применения защитных мер.
Техническая характеристика уязвимости CVE-2025-23266
Корень проблемы кроется в некорректной обработке хуков Open Container Initiative (OCI) — специальных механизмов, обеспечивающих выполнение определенных операций на различных этапах жизненного цикла контейнера. Данная архитектурная особенность создает возможности для эскалации привилегий и нарушения изоляции между контейнерами.
Уязвимость затрагивает широкий спектр продуктов Nvidia: все версии Container Toolkit до 1.17.7 включительно и GPU Operator до версии 25.3.0. Производитель оперативно отреагировал на угрозу, выпустив исправленные версии 1.17.8 и 25.3.1 соответственно.
Потенциальные угрозы для облачной инфраструктуры
Особую опасность NvidiaScape представляет для управляемых ИИ-сервисов в облачных средах, где множество пользователей совместно используют общую GPU-инфраструктуру. Злоумышленник может использовать специально подготовленный контейнер для полного обхода системы изоляции и получения root-доступа к хост-машине.
Последствия успешной эксплуатации уязвимости включают:
• Несанкционированное получение конфиденциальных данных других клиентов
• Манипулирование проприетарными ИИ-моделями
• Выполнение DoS-атак против критической инфраструктуры
• Подмену данных в многопользовательских средах
Демонстрация на Pwn2Own Berlin 2025
Первая публичная демонстрация эксплойта состоялась на престижном хакерском соревновании Pwn2Own Berlin в начале 2025 года. Команда Wiz успешно продемонстрировала возможности уязвимости, используя трехстрочный Docker-файл с вредоносной полезной нагрузкой, что принесло им заслуженное вознаграждение в размере 30 000 долларов.
Рекомендации по защите и митигации рисков
Nvidia оперативно проинформировала пользователей о доступности патчей через официальный бюллетень безопасности. Администраторам систем настоятельно рекомендуется незамедлительно обновить используемые версии программного обеспечения до безопасных релизов.
Эксперты Wiz подчеркивают фундаментальную проблему: контейнеры не должны рассматриваться как единственный надежный барьер безопасности. При проектировании архитектуры приложений, особенно в многопользовательских средах, необходимо предусматривать дополнительные уровни изоляции, такие как аппаратная виртуализация.
Инцидент с NvidiaScape наглядно демонстрирует важность применения принципа глубокоэшелонированной защиты в современных облачных инфраструктурах. Организациям следует регулярно проводить аудит безопасности контейнерных платформ и не полагаться исключительно на изоляцию на уровне контейнеров при работе с критически важными данными и приложениями искусственного интеллекта.
