Các nhà nghiên cứu an ninh mạng vừa công bố một lỗ hổng “vượt rào” container (container escape) nghiêm trọng trong bộ công cụ NVIDIA Container Toolkit, có thể gây ra mối đe dọa nặng nề cho các dịch vụ đám mây AI được quản lý.
Lỗ hổng này, được định danh là CVE-2025-23266, có điểm CVSS là 9.0 trên 10.0, và được công ty bảo mật đám mây Wiz (thuộc sở hữu của Google) đặt tên mã là NVIDIAScape.
“NVIDIA Container Toolkit trên tất cả các nền tảng đều chứa một lỗ hổng trong một số hook được sử dụng để khởi tạo container, qua đó kẻ tấn công có thể thực thi mã tùy ý với các quyền hạn nâng cao,” NVIDIA cho biết trong một thông báo về lỗi này.
“Việc khai thác thành công lỗ hổng này có thể dẫn đến leo thang đặc quyền, can thiệp dữ liệu, tiết lộ thông tin và tấn công từ chối dịch vụ.”
Phạm vi ảnh hưởng rộng lớn
Thiếu sót này ảnh hưởng đến tất cả các phiên bản NVIDIA Container Toolkit cho đến và bao gồm phiên bản 1.17.7, và NVIDIA GPU Operator cho đến và bao gồm phiên bản 25.3.0. Nhà sản xuất GPU đã khắc phục lỗ hổng này trong các phiên bản 1.17.8 và 25.3.1.
NVIDIA Container Toolkit là một bộ sưu tập các thư viện và tiện ích cho phép người dùng xây dựng và chạy các container Docker được tăng tốc bằng GPU. Trong khi đó, NVIDIA GPU Operator được thiết kế để tự động triển khai các container này trên các node có GPU trong một cụm Kubernetes.
Trong một phân tích vào thứ Năm, công ty Wiz cho biết lỗ hổng này ảnh hưởng đến 37% môi trường đám mây. Nó cho phép kẻ tấn công có khả năng truy cập, đánh cắp hoặc thao túng dữ liệu nhạy cảm và các mô hình độc quyền của tất cả khách hàng khác đang chạy trên cùng một phần cứng chia sẻ, chỉ bằng một đoạn mã khai thác vỏn vẹn ba dòng.
Kỹ thuật khai thác “đơn giản đến kinh ngạc”
Lỗ hổng bắt nguồn từ một lỗi cấu hình sai trong cách bộ công cụ xử lý hook createContainer của Sáng kiến Container Mở (Open Container Initiative – OCI). Việc khai thác thành công CVE-2025-23266 có thể dẫn đến việc chiếm quyền kiểm soát hoàn toàn máy chủ. Wiz cũng mô tả lỗ hổng này là “cực kỳ” dễ dàng để vũ khí hóa.
“Bằng cách thiết lập biến môi trường LD_PRELOAD trong Dockerfile, kẻ tấn công có thể chỉ thị cho hook nvidia-ctk tải một thư viện độc hại,” các nhà nghiên cứu Nir Ohfeld và Shir Tamari của Wiz cho biết thêm.
“Vấn đề trở nên nghiêm trọng hơn khi hook createContainer thực thi với thư mục làm việc được đặt tại hệ thống tệp gốc (root filesystem) của container. Điều này có nghĩa là thư viện độc hại có thể được tải trực tiếp từ image của container chỉ với một đường dẫn đơn giản, qua đó hoàn tất chuỗi tấn công.”
Tất cả những điều này có thể được thực hiện bằng một “Dockerfile ba dòng đơn giản đến kinh ngạc” để tải tệp đối tượng chia sẻ của kẻ tấn công vào một tiến trình có đặc quyền, dẫn đến việc vượt rào container thành công.
Bài học về an ninh: Lỗ hổng hạ tầng vẫn là mối đe dọa chính
Thông tin này được đưa ra vài tháng sau khi Wiz cũng đã công bố chi tiết về một lỗ hổng khác trong NVIDIA Container Toolkit (CVE-2024-0132, điểm CVSS: 9.0 và CVE-2025-23359, điểm CVSS: 8.3) có thể bị lạm dụng để chiếm quyền kiểm soát hoàn toàn máy chủ.
“Trong khi sự chú ý về rủi ro an ninh AI có xu hướng tập trung vào các cuộc tấn công tương lai dựa trên AI, thì các lỗ hổng hạ tầng ‘kiểu cũ’ trong chồng công nghệ AI (tech stack) ngày càng phát triển mới chính là mối đe dọa trước mắt mà các đội ngũ bảo mật nên ưu tiên,” Wiz nhận định.
“Ngoài ra, nghiên cứu này một lần nữa nhấn mạnh rằng container không phải là một hàng rào bảo mật vững chắc và không nên được xem là phương tiện cách ly duy nhất. Khi thiết kế ứng dụng, đặc biệt là cho các môi trường đa người dùng (multi-tenant), chúng ta nên luôn ‘giả định rằng có lỗ hổng’ và triển khai ít nhất một hàng rào cách ly mạnh mẽ khác, chẳng hạn như ảo hóa (virtualization).”
Theo The Hacker News
Leave a Reply