{"id":675,"date":"2024-10-11T13:13:24","date_gmt":"2024-10-11T13:13:24","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=675"},"modified":"2024-10-11T13:13:24","modified_gmt":"2024-10-11T13:13:24","slug":"nvidia-stopft-sicherheitslucke-in-seinem-container-toolkit","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=675","title":{"rendered":"Nvidia stopft Sicherheitsl\u00fccke in seinem Container-Toolkit"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Ist die Container-Security kompromittiert, kann das weitreichende Folgen f\u00fcr ganze Cloud-Systeme haben.\n

Sergey Novikov \u2013 shutterstock.com<\/p>\n<\/div>\n

Nvidia hat eine kritische Sicherheitsl\u00fccke in seinem Container-Toolkit, fr\u00fcher auch bekannt als Nvidia Docker, gepatcht. Die Schwachstelle mit der Bezeichnung CVE-2024-0132 weist nach dem Common Vulnerability Scoring System (CVSS) auf der zehn Punkte z\u00e4hlenden Skala einen Schweregrad von neun aus. Hacker k\u00f6nnten die L\u00fccke ausnutzen, um aus einem betroffenen Container auszubrechen und das entsprechende Host-System komplett zu \u00fcbernehmen.<\/p>\n

\u201cNvidia Container Toolkit, Version 1.16.1 oder fr\u00fcher, enth\u00e4lt bei Verwendung mit der Standardkonfiguration eine Time-of-check Time-of-Use (TOCTOU)-Schwachstelle, bei der ein speziell gestaltetes Container-Image Zugriff auf das Host-Dateisystem erhalten kann\u201d,\u00a0erkl\u00e4rte Nvidia in einem Patch-Hinweis aus seinem regelm\u00e4\u00dfigen Sicherheitsbulletin<\/a>. Unter bestimmten Umst\u00e4nden k\u00f6nnte die Sicherheitsl\u00fccke dazu missbraucht werden, Schadcode auszuf\u00fchren, Dienste zu blockieren, sich weitere Rechte zu verschaffen, Informationen offenzulegen und Daten zu manipulieren, hie\u00df es dort.<\/p>\n

Mit dem Nvidia Container Toolkit k\u00f6nnen Anwenderinnen und Anwender spezielle Nvidia-Container bauen. Das erleichtere die Bereitstellung von Anwendungen, insbesondere in den Bereichen k\u00fcnstliche Intelligenz und maschinelles Lernen, so der Anbieter. Die Softwarepakete in den Containern enthielten Tools und Bibliotheken, mit denen Anwendungen, die in diesen Containern ausgef\u00fchrt werden, die daf\u00fcr vorgesehenen Graphic Processing Units (GPUs) optimal nutzen k\u00f6nnen.<\/p>\n

Betroffene Bibliothek ist weit verbreitet<\/h3>\n

Einem Blogbeitrag von Wiz Research zufolge<\/a>, dessen Forschern Nvidia die Entdeckung der Sicherheitsl\u00fccke zuschreibt, ist die L\u00fccke auf eine fehlerhafte Bedingung namens \u201cTime of Check Time of Use\u201d (TOCTOU) zur\u00fcckzuf\u00fchren. Dabei handelt es sich um eine sogenannte \u201cRace Condition\u201d, die auftritt, wenn ein Programm eine Bedingung \u00fcberpr\u00fcft und dann das Ergebnis dieser \u00dcberpr\u00fcfung verwendet, ohne sicherzustellen, dass sich die Bedingung in der Zwischenzeit nicht ge\u00e4ndert hat.<\/p>\n

Security-Tools f\u00fcr KI-Infrastrukturen \u2013 ein Kaufratgeber<\/a><\/strong><\/p>\n

W\u00e4hrend die spezifischen technischen Details, wie die L\u00fccke konkret ausgenutzt werden kann, aus Sicherheitsgr\u00fcnden nicht offengelegt wurden, beschrieben die Wiz-Forscher in ihrem Blog einen m\u00f6glichen Angriffsablauf. \u201cDer Angreifer erstellt ein speziell entwickeltes Image, um CVE-2024-0132 auszunutzen, und f\u00fchrt das b\u00f6sartige Image auf der Zielplattform aus. Dies kann entweder direkt in Diensten erfolgen, die gemeinsam genutzte GPU-Ressourcen zulassen, oder indirekt beispielsweise \u00fcber einen Social-Engineering-Angriff, wenn ein User ein KI-Image aus einer nicht vertrauensw\u00fcrdigen Quelle ausf\u00fchrt.\u201d<\/p>\n

Die Container-Sicherheitsl\u00fccke betrifft laut den Patch-Notizen von Nvidia alle Versionen des Nvidia Container Toolkit bis einschlie\u00dflich v1.16.1. Laut Wiz-Forschern wird das Toolkit h\u00e4ufig verwendet und der Fehler k\u00f6nnte \u00fcber ein Drittel aller Cloud-Umgebungen betreffen. \u201cDiese Bibliothek wird weithin als die von NVIDIA unterst\u00fctzte L\u00f6sung f\u00fcr den GPU-Zugriff innerhalb von Containern eingesetzt\u201d, f\u00fcgten die Forscher hinzu. Dar\u00fcber hinaus sei sie auf vielen KI-Plattformen vorinstalliert, da sie eine g\u00e4ngige Infrastrukturanforderung f\u00fcr KI-Anwendungen darstelle.<\/p>\n

Hacker k\u00f6nnten sich auf das gesamte Cluster ausbreiten<\/h3>\n

Bei gemeinsam genutzten Umgebungen wie zum Beispiel Kubernetes k\u00f6nne der Fehler dazu f\u00fchren, dass die Hacker aus einem Container ausbrechen und auf Daten anderer Anwendungen zugreifen, die auf demselben Knoten oder sogar auf demselben Cluster laufen, beschreiben die Security-Forscher m\u00f6gliche Auswirkungen des Lecks. Dadurch k\u00f6nnte die gesamte Umgebung offengelegt werden. Organisationen, die ein gemeinsam genutztes Rechenmodell verwenden, sei daher dringend zu empfehlen, das Nvidia-Toolkit umgehend zu aktualisieren.<\/p>\n

Lesen Sie hier, wie Sie Ihre Container-Umgebungen besser absichern k\u00f6nnen:<\/strong><\/p>\n

Kubernetes Security: Wie Sie Ihre Cluster (besser) absichern<\/a><\/p>\n

Tipps und Tools f\u00fcr eine sichere Containernutzung<\/a><\/p>\n

Wie Sie Container vor Ransomware sch\u00fctzen<\/a><\/p>\n

Hacker k\u00f6nnten aus einem von der L\u00fccke betroffenen Container ausbrechen und den Host-Rechner angreifen, um die Kontrollsysteme des Cloud-Dienstes zu \u00fcbernehmen, skizzieren die Forscher ein m\u00f6gliches Szenario. \u201cDadurch k\u00f6nnte der Angreifer Zugriff auf vertrauliche Informationen wie den Quellcode, Daten und Geheimnisse anderer Kunden erhalten, die denselben Dienst nutzen.\u201d Die Sicherheitsl\u00fccke habe keine Auswirkungen auf Anwendungsf\u00e4lle, in denen Container Device Interface (CDI) verwendet wird, hie\u00df es. F\u00fcr alle Anwenderinnen und Anwender des Nvidia Container Toolkit ist ein Patch verf\u00fcgbar.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Ist die Container-Security kompromittiert, kann das weitreichende Folgen f\u00fcr ganze Cloud-Systeme haben. Sergey Novikov \u2013 shutterstock.com Nvidia hat eine kritische Sicherheitsl\u00fccke in seinem Container-Toolkit, fr\u00fcher auch bekannt als Nvidia Docker, gepatcht. Die Schwachstelle mit der Bezeichnung CVE-2024-0132 weist nach dem Common Vulnerability Scoring System (CVSS) auf der zehn Punkte z\u00e4hlenden Skala einen Schweregrad von neun […]<\/p>\n","protected":false},"author":0,"featured_media":676,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-675","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/675"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=675"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/675\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/676"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}