此篇文章深入探討了GPU大廠Nvidia所發佈的兩項重要安全漏洞及其後續修補情況,這些漏洞的發現與修補將影響到廣泛使用Nvidia顯示晶片的容器系統,並對雲端環境的安全性構成了嚴重威脅。
文章開頭指出,Nvidia於去年9月發布了1.16.2版的Container Toolkit,目的是修補一個與時間檢查(TOCTOU)相關的競爭條件漏洞,CVE-2024-0132。該漏洞被評為重大風險,CVSS(常見漏洞評分系統)為9.0分,並且影響範圍相當廣泛,估計有超過35%的雲端環境可能會暴露在此風險中。該漏洞的主要問題在於攻擊者能利用此競爭條件漏洞,進行未經授權的存取與執行操作,這可能會對整個容器系統造成大規模的安全威脅。
然而,隨著時間的推移,研究發現Nvidia的修補並未徹底解決問題。趨勢科技於4月10日報告指出,原來的修補並不完整,攻擊者仍然有機會進行服務阻斷(DoS)攻擊,並對容器系統的穩定性造成影響。
隨著趨勢科技的深入分析,發現了名為CVE-2025-23359的全新漏洞,該漏洞在Nvidia修補後依然存在,影響Linux平台上的Docker效能。這個漏洞的危險性同樣非常高,CVSS風險分數為9.0分。其主要危害在於攻擊者可以利用該漏洞突破容器的沙箱隔離機制,進一步存取主機的敏感資源,導致重要工作中斷,甚至使得攻擊者可以遠程執行任意程式碼,完全控制受害系統。
Nvidia於今年2月推出了1.17.4版Container Toolkit與24.9.2版GPU Operator來修補該漏洞,但該漏洞依然存在於某些版本中,特別是在缺乏適當鎖定的情況下,攻擊者仍可提升權限並執行危險操作。
作者也深入解釋了攻擊者可能利用漏洞進行攻擊的具體步驟。首先,攻擊者會準備兩個惡意的容器映像檔,並通過磁碟區符號連結(Volume Symlink)將其連接。接著,攻擊者會利用供應鏈攻擊或社交工程手段,將這些惡意映像檔運行於目標組織的環境中。這樣,他們就可以通過競爭條件的漏洞,存取主機的檔案系統。一旦成功,攻擊者便能以root權限控制容器運行時的底層軟體,並進一步執行任意命令,達到完全控制系統的目的。
針對這些漏洞的防範,趨勢科技建議用戶必須採取一系列最佳實作來加強安全性,尤其是對於CVE-2024-0132、CVE-2025-23359以及其他與Docker檔案系統綑綁的弱點。具體措施包括:
- 限制Docker API的存取與權限,防止未授權的存取。
- 監控Linux掛載列表,及時發現異常行為。
- 定期稽核容器與主機之間的互動,及早發現漏洞並進行修補。
這些措施有助於減少攻擊者利用漏洞進行滲透和破壞的機會,並提高整體系統的防護能力。
本文總結指出,Nvidia在容器系統中的修補工作尚未完成,且仍然存在一定的安全風險。隨著這些漏洞的曝光,企業與開發者需要更加警覺,並在部署Nvidia產品或容器化應用時,積極跟進最新的安全修補和建議。未來,隨著容器技術的廣泛應用,如何有效處理這類漏洞並保護資料和系統安全,將是每個企業必須面對的重要挑戰。
