WIZのサイバーセキュリティ研究者は、NVIDIAコンテナツールキット内で、NVIDIASCAPE(CVE-2025-23266)と呼ばれる重要な脆弱性を特定しました。 CVSSの重大度スケールで9.0(クリティカル)と評価されたこの欠陥により、攻撃者はコンテナの分離をバイパスし、基礎となるホストマシンへのルートアクセスを実現できます。
脆弱性は、1.17.7までのNVIDIAコンテナツールキットのすべてのバージョンと、25.3.0までのNVIDIA GPUオペレーターバージョンに影響を与えます。 GPU演算子は、Kubernetesクラスター内のGPUコンテナの管理に広く利用されています。
この発見から生じる重大な懸念は、マネージドAIクラウドサービスに潜在的な影響を与えることです。さまざまなユーザーがGPUインフラストラクチャを共有するこれらのマルチテナント環境では、単一の侵害されたコンテナが同じマシン上の他のユーザーのデータとモデルを公開する可能性があります。 Wizは、クラウド環境の約37%が、主要なクラウドプロバイダーが管理するものを含め、この欠陥の影響を受けやすいと推定しています。
nvidiascapeの技術的ルートは、nvidiaコンテナツールキットがOCI(オープンコンテナイニシアチブ)フックをどのように処理するか、特に createContainer フック。この特定のフックは、コンテナ画像から環境変数を直接継承し、悪用可能なベクトルを提示します。攻撃者はこれを設定することでこれを活用できます LD_PRELOAD dockerfile内の環境変数と悪意のある埋め込み .so ファイル。これにより、ホストシステムで実行されている特権プロセスに任意のコードを挿入できます。
Nvidiaは、「特権のエスカレーション、データの改ざん、情報の開示、サービス拒否」などの潜在的な結果を警告するセキュリティ速報の脆弱性を認めています。これに応じて、Nvidiaは、コンテナツールキットのバージョン1.17.8およびGPUオペレーターのバージョン25.3.1のパッチをリリースしました。
Nvidiaは、ホストマシンがインターネットに直接さらされているかどうかにかかわらず、すべてのユーザーにシステムをすぐにアップグレードすることを強くアドバイスしています。同社は、攻撃者がソーシャルエンジニアリング、侵害されたコンテナ画像、汚染されたリポジトリなど、さまざまな手段を通じてアクセスできることを強調しています。即時のアップグレードが実行不可能な例の場合、Nvidiaは、 enable-cuda-compat 脆弱性の中心であるフック。
セキュリティチームは、特に共有GPU環境内で、信頼できないまたは公開されていない画像から構築されたコンテナを実行するホストのパッチングを優先するように促されます。直接的なインターネットエクスポージャーは搾取の前提条件ではないことを理解することが重要です。攻撃者は、ソーシャルエンジニアリングの戦術やサプライチェーンの浸透を利用して、悪意のある画像を提供できます。
このインシデントは、Nvidiaコンテナツールキットの孤立したものではありません。 2024年の初めに、Wiz Researchは、同じツールキットに影響を与える別のコンテナエスケープ欠陥CVE-2024-0132を発見しました。これらの繰り返しの脆弱性は、理論的なAIベースの攻撃ではなく、「オールドスクール」インフラストラクチャの弱点というより広範な傾向を強調しており、AIシステムに対する最も差し迫った重大な脅威をもたらします。 Wizの調査チームが述べたように、「AIのセキュリティリスクに関する誇大宣伝は未来的でAIベースの攻撃に焦点を当てる傾向がありますが、増え続けるAI Techスタックの「古い学校」インフラストラクチャの脆弱性は、セキュリティチームが優先するべき即時の脅威であり続けます。」
