英伟达高危漏洞威胁全球数百万AI应用

安全 漏洞
近日,英伟达容器工具包(NVIDIA Container Toolkit)曝出一个高危漏洞,威胁全球数百万AI系统和应用,包括所有通过该工具包访问GPU资源的大量云端和本地AI应用程序。

近日,英伟达容器工具包(NVIDIA Container Toolkit)曝出一个高危漏洞,威胁全球数百万AI系统和应用,包括所有通过该工具包访问GPU资源的大量云端和本地AI应用程序。

该漏洞编号为CVE-2024-0132,可被攻击者利用实现容器逃逸,从而获得对AI主机系统的完全访问权限,执行命令或窃取AI系统的敏感数据。

超过35%的云环境面临威胁

CVE-2024-0132是一个极为严重的漏洞,CVSS评分高达9.0。漏洞主要存在于NVIDIA Container Toolkit 1.16.1及更早版本和GPU Operator 24.6.1及更早版本中。这些组件通常用于AI平台和虚拟机镜像中,是访问GPU硬件的标准工具。

根据Wiz Research的数据,超过35%的云环境有可能面临被该漏洞利用的风险。

英伟达容器工具包的Github流行度走势英伟达容器工具包的Github流行度走势

该漏洞是由于容器化GPU与主机之间缺乏足够的隔离安全机制,导致容器可以挂载主机文件系统的敏感部分,或访问用于进程间通信的Unix套接字等运行时资源。

尽管大多数文件系统的挂载权限为“只读”,但某些Unix套接字,如docker.sock和containerd.sock,仍然保持可写状态,使得攻击者可以与主机进行直接交互,甚至执行命令。这一缺陷为攻击者提供了机会,允许他们通过特制的容器镜像突破容器边界,直接接触到主机系统。

攻击可以通过两种方式进行:直接利用共享的GPU资源,或间接利用目标系统中从不安全来源下载的容器镜像。

漏洞披露与修复

Wiz研究团队在9月1日向英伟达报告了该漏洞。英伟达随后在几天内确认了该报告,并于9月26日发布了修复补丁。建议受影响的用户将NVIDIA Container Toolkit升级至1.16.2版本,并将GPU Operator升级至24.6.2版本。

目前,为了给用户留出更多时间实施缓解措施,研究者并未完全公开漏洞的技术细节。但研究人员表示将在未来发布更多的技术细节,以帮助行业内进一步理解和防范此类安全问题。

在当前的云和AI态系统中,GPU资源的安全性至关重要。此次漏洞再次凸显了在容器化环境中确保GPU资源隔离和主机安全的必要性。建议相关企业尽快进行安全更新,以降低遭受攻击的风险。

英伟达的“安全债”

英伟达虽然是全球利润最高的科技公司之一,但是其“安全债务”却丝毫没有缓解。近年来,GPU巨头英伟达多次曝出产品漏洞和安全事件。例如,2022年NVIDIA遭遇了一次严重的网络攻击,黑客窃取了约1TB的敏感数据,其中包括员工的个人信息、内部技术文档以及NVIDIA显卡的源代码。攻击者要求NVIDIA从其显卡中移除挖矿限制功能作为交换条件,并威胁公开泄露更多敏感数据。

此外,NVIDIA的Triton推理服务器也曾被发现存在一个严重漏洞,该漏洞可能导致任意代码执行、权限提升以及数据篡改等安全问题。此外,ChatRTX产品中也有多个高危和中等严重漏洞。

这些事件显示,尽管英伟达作为全球领先的芯片制造商在硬件性能上一骑绝尘,但在网络安全方面却“严重偏科”,尤其是在容器技术和推理服务器的安全性上。随着AI和GPU计算在云端和本地部署中的广泛应用,英伟达需要进一步加强其产品的安全防护,防止类似漏洞被攻击者利用,从而保护用户的隐私和数据安全。


责任编辑:华轩 来源: GoUpSec
相关推荐

2021-04-14 10:53:33

DNS漏洞物联网设备

2009-03-25 09:07:25

微软Windows 7操作系统

2022-05-05 14:01:02

DNS高危漏洞uClibc

2021-09-05 05:59:00

BrakTooth漏洞蓝牙设备

2022-01-12 12:33:15

漏洞网络安全网络攻击

2021-09-17 11:03:25

HP OMEN漏洞攻击

2021-11-01 05:50:13

勒索软件漏洞赎金

2024-08-22 12:38:03

2018-07-05 14:12:55

显卡库存降价

2021-09-15 14:46:06

漏洞网络安全网络攻击

2021-05-18 07:13:18

WiFi漏洞攻击

2021-08-10 08:22:21

漏洞网络安全网络攻击

2020-12-11 05:51:58

漏洞网络攻击网络安全

2024-03-29 15:56:24

2022-05-05 11:33:10

漏洞网络攻击网络安全

2009-08-07 10:41:34

2022-05-18 14:17:00

黑客漏洞网络攻击

2021-06-16 14:58:52

漏洞网络安全网络攻击

2011-12-21 09:58:18

云计算云应用云集成

2015-07-29 15:24:46

点赞
收藏

51CTO技术栈公众号