Обнаружена критическая уязвимость NVIDIAScape (CVE-2025-23266) в NVIDIA Container Toolkit. Оценка CVSS 9.0 указывает на высочайший риск эксплуатации. Уязвимость выявлена исследователями компании Wiz (принадлежащей Google).
Техническая суть угрозы
Уязвимость кроется в обработке хука OCI createContainer. Злоумышленник может добавить в Dockerfile строку
Последствия эксплуатации
Успешный взрыв приводит к:
Повышению привилегий до уровня хоста.
Краже или изменению данных.
Полному захвату сервера.
Особо опасно для мультитенантных облаков: атакующий получает доступ к данным всех клиентов на физическом сервере. Wiz оценивает охват угрозы в 37% облачных сред.
Затронутые продукты
Уязвимость затрагивает:
NVIDIA Container Toolkit (все версии до 1.17.7 включительно).
NVIDIA GPU Operator (все версии до 25.3.0 включительно).
Исправления
NVIDIA выпустила патчи:
Container Toolkit 1.17.8.
GPU Operator 25.3.1. Немедленное обновление критически важно.
Исторический контекст
NVIDIAScape — третья крупная уязвимость в этом стеке за несколько месяцев. Ранее Wiz раскрыла CVE-2024-0132 (CVSS 9.0) и CVE-2025-23359 (CVSS 8.3), также позволявшие захват хоста.
Ключевые выводы Wiz
Исследователи предупреждают: вместо гипотетических ИИ-атак фокус должен быть на базовой инфраструктуре. «Контейнеры — ненадежный барьер безопасности», — отмечают в Wiz. Для критически важных сред, особенно мультитенантных, обязательна дополнительная изоляция (например, виртуализация).
Терминология
NVIDIA Container Toolkit: инструменты для запуска GPU-ускоренных Docker-контейнеров.
NVIDIA GPU Operator: автоматизирует развертывание GPU-контейнеров в Kubernetes.
Open Container Initiative (OCI): стандарт, определяющий форматы контейнеров и хуки (включая createContainer).
Приоритет — обновление ПО. Без патча злоумышленник может превратить ИИ-инфраструктуру в плацдарм для атак на всю сеть.
Изображение носит иллюстративный характер
Техническая суть угрозы
Уязвимость кроется в обработке хука OCI createContainer. Злоумышленник может добавить в Dockerfile строку
LD_PRELOAD, заставляя инструмент nvidia-ctk загрузить вредоносную библиотеку. Поскольку хук выполняется с правами root в корневой файловой системе контейнера, это позволяет тривиально сбежать из контейнера. Wiz подчеркивает: для атаки достаточно трех строк кода в Dockerfile. Последствия эксплуатации
Успешный взрыв приводит к:
Повышению привилегий до уровня хоста.
Краже или изменению данных.
Полному захвату сервера.
Особо опасно для мультитенантных облаков: атакующий получает доступ к данным всех клиентов на физическом сервере. Wiz оценивает охват угрозы в 37% облачных сред.
Затронутые продукты
Уязвимость затрагивает:
NVIDIA Container Toolkit (все версии до 1.17.7 включительно).
NVIDIA GPU Operator (все версии до 25.3.0 включительно).
Исправления
NVIDIA выпустила патчи:
Container Toolkit 1.17.8.
GPU Operator 25.3.1. Немедленное обновление критически важно.
Исторический контекст
NVIDIAScape — третья крупная уязвимость в этом стеке за несколько месяцев. Ранее Wiz раскрыла CVE-2024-0132 (CVSS 9.0) и CVE-2025-23359 (CVSS 8.3), также позволявшие захват хоста.
Ключевые выводы Wiz
Исследователи предупреждают: вместо гипотетических ИИ-атак фокус должен быть на базовой инфраструктуре. «Контейнеры — ненадежный барьер безопасности», — отмечают в Wiz. Для критически важных сред, особенно мультитенантных, обязательна дополнительная изоляция (например, виртуализация).
Терминология
NVIDIA Container Toolkit: инструменты для запуска GPU-ускоренных Docker-контейнеров.
NVIDIA GPU Operator: автоматизирует развертывание GPU-контейнеров в Kubernetes.
Open Container Initiative (OCI): стандарт, определяющий форматы контейнеров и хуки (включая createContainer).
Приоритет — обновление ПО. Без патча злоумышленник может превратить ИИ-инфраструктуру в плацдарм для атак на всю сеть.
