2025年7月18日Ravie Lakshmananクラウドセキュリティ / AIセキュリティ
サイバーセキュリティ研究者は、NVIDIA Container Toolkitにおける重大なコンテナエスケープの脆弱性を公開しました。この脆弱性は、マネージドAIクラウドサービスに深刻な脅威をもたらす可能性があります。
この脆弱性はCVE-2025-23266として追跡されており、CVSSスコアは10.0中9.0です。Google傘下のクラウドセキュリティ企業WizによってNVIDIAScapeと命名されています。
「すべてのプラットフォーム向けNVIDIA Container Toolkitには、コンテナの初期化に使用される一部のフックに脆弱性があり、攻撃者が昇格した権限で任意のコードを実行できる可能性があります」とNVIDIAはこのバグに関するアドバイザリで述べています。
「この脆弱性が悪用されると、権限昇格、データの改ざん、情報漏洩、サービス拒否(DoS)につながる可能性があります。」
この問題は、NVIDIA Container Toolkitのバージョン1.17.7までおよびNVIDIA GPU Operatorのバージョン25.3.0までのすべてのバージョンに影響します。GPUメーカーは、それぞれバージョン1.17.8および25.3.1で修正済みです。
NVIDIA Container Toolkitは、ユーザーがGPUアクセラレーションされたDockerコンテナを構築・実行できるようにするライブラリとユーティリティのセットです。NVIDIA GPU Operatorは、Kubernetesクラスター内のGPUノードにこれらのコンテナを自動的にデプロイするために設計されています。
Wizは木曜日の分析でこの脆弱性の詳細を共有し、この問題がクラウド環境の37%に影響し、攻撃者が3行のエクスプロイトによって、同じ共有ハードウェア上で稼働する他のすべての顧客の機密データや独自モデルにアクセス、窃取、改ざんできる可能性があると述べています。
この脆弱性は、ツールキットがOpen Container Initiative(OCI)のフック「createContainer」を処理する方法の設定ミスに起因しています。CVE-2025-23266の攻撃が成功すると、サーバーを完全に乗っ取られる可能性があります。Wizはこの脆弱性について「非常に」武器化しやすいと評しています。
「攻撃者は自分のDockerfileでLD_PRELOADを設定することで、nvidia-ctkフックに悪意のあるライブラリを読み込ませることができます」とWizの研究者Nir Ohfeld氏とShir Tamari氏は付け加えています。
「さらに悪いことに、createContainerフックは作業ディレクトリをコンテナのルートファイルシステムに設定して実行されます。つまり、悪意のあるライブラリが単純なパスでコンテナイメージから直接読み込まれ、エクスプロイトチェーンが完成します。」
これらすべては、「攻撃者の共有オブジェクトファイルを特権プロセスに読み込ませる、驚くほどシンプルな3行のDockerfile」で実現でき、コンテナエスケープにつながります。
この公開は、Wizが数か月前に、NVIDIA Container Toolkitの別の脆弱性(CVE-2024-0132、CVSSスコア:9.0およびCVE-2025-23359、CVSSスコア:8.3)に対するバイパス方法を詳細に説明した後に行われました。これらもホストの完全な乗っ取りに悪用される可能性がありました。
「AIセキュリティリスクに関する話題は未来的なAIベースの攻撃に集中しがちですが、急速に拡大するAI技術スタックにおける『従来型』インフラの脆弱性こそ、セキュリティチームが最優先で対処すべき差し迫った脅威です」とWizは述べています。
「さらに、この研究は今回が初めてではありませんが、コンテナが強力なセキュリティバリアではなく、唯一の隔離手段として頼るべきではないことを強調しています。特にマルチテナント環境向けにアプリケーションを設計する際は、常に『脆弱性が存在する』と仮定し、仮想化など少なくとも1つの強力な隔離バリアを実装すべきです。」
翻訳元: https://thehackernews.com/2025/07/critical-nvidia-container-toolkit-flaw.html