I ricercatori di Cybersecurity hanno dettagliato un caso di una patch incompleta per un difetto di sicurezza precedentemente affrontato che ha un impatto sul toolkit del contenitore Nvidia che, se sfruttato con successo, potrebbe mettere a rischio dati sensibili.
La vulnerabilità originale CVE-2024-0132 (Punteggio CVSS: 9.0) è una vulnerabilità del tempo di uso (TOCTU) del tempo che potrebbe portare a un attacco di fuga del contenitore e consentire l’accesso non autorizzato all’ospite sottostante.
Mentre questo difetto è stato risolto da Nvidia nel settembre 2024, una nuova analisi di Development Micro ha rivelato che la correzione è incompleta e che esiste anche un difetto di prestazioni correlato che colpisce Docker su Linux che potrebbe comportare una condizione di negazione del servizio (DOS).
“Questi problemi potrebbero consentire agli aggressori di sfuggire all’isolamento del contenitore, advert accedere alle risorse dell’ospite sensibili e causare gravi interruzioni operative”, Micro ricercatore di tendenza Abdelrahman Esmail disse In un nuovo rapporto pubblicato oggi.
Il fatto che la vulnerabilità di Toctou persista significa che un contenitore appositamente realizzato potrebbe essere abusato per accedere al file system host ed eseguire comandi arbitrari con i privilegi di root. Il difetto influisce sulla versione 1.17.4 se la funzione consente Cuda-Compat-Libs-From-Container è esplicitamente abilitata.
“Il difetto specifico esiste all’interno della funzione Mount_files”, Development Micro disse. “Il problema deriva dalla mancanza di un blocco adeguato quando si esegue operazioni su un oggetto. Un utente malintenzionato può sfruttare questa vulnerabilità per intensificare i privilegi ed eseguire il codice arbitrario nel contesto dell’host.”
Tuttavia, affinché questa escalation del privilegio funzioni, l’attaccante deve aver già ottenuto la possibilità di eseguire il codice all’interno di un contenitore.
Il difetto è stato assegnato l’identificatore CVE CVE-2025-23359 (Punteggio CVSS: 9.0), che period precedentemente contrassegnato dalla società di sicurezza del cloud Wiz come anche un bypass per CVE-2024-0132 nel febbraio 2025. È stato indirizzato Nella versione 1.17.4.
La società di sicurezza informatica ha affermato di aver anche scoperto un problema di prestazioni durante l’analisi del CVE-2024-0132 che potrebbe potenzialmente portare a una vulnerabilità DOS sulla macchina host. Colpisce le istanze Docker sui sistemi Linux.
“Quando viene creato un nuovo contenitore con più montaggi configurati usando (bind-propagazione = condiviso), vengono stabiliti più percorsi genitore/figlio. Tuttavia, le voci affiliate non vengono rimosse nella tabella del supporto Linux dopo la risoluzione del contenitore”, ha affermato Esmail.
“Ciò porta a una crescita rapida e incontrollabile della tabella del monte, esaurimento dei descrittori di file disponibili (FD). Alla fantastic, Docker non è in grado di creare nuovi contenitori a causa dell’esaurimento FD. Questo tavolo di montaggio eccessivamente grande porta a un enorme problema di prestazioni, impedendo agli utenti di connettersi all’host (IE, tramite SSH).”
Per mitigare il problema, si consiglia di monitorare la tabella del monte Linux per una crescita anormale, limitare l’accesso dell’API Docker al personale autorizzato, applicare politiche di controllo degli accessi forti e condurre audit periodici di rilegatura del filesystem contenitore-host, supporti per volumi e connessioni a presa.
