Ha surgido una vulnerabilidad crítica de escape de contenedores en el conjunto de herramientas de contenedores NVIDIA, amenazando la base de seguridad de la infraestructura de IA en todo el mundo.
Apodado “Nvidiascape” y rastreado como CVE-2025-23266, este defecto conlleva un puntaje CVSS máximo de 9.0, que representa una de las amenazas más graves para los servicios de IA basados en la nube descubiertos hasta la fecha.
La vulnerabilidad permite a los actores maliciosos liberarse del aislamiento del contenedor y lograr un control completo a nivel de raíz sobre los sistemas de host que ejecutan cargas de trabajo aceleradas con GPU.
La devastadora simplicidad del exploit lo distingue de los vectores de ataque complejos tradicionales.
Los investigadores han demostrado que un mero Dockerfile de tres líneas puede armarse esta vulnerabilidad, lo que permite a los atacantes evitar todos los límites de seguridad del contenedor.
La carga útil maliciosa aprovecha el entorno LD_PROLOAD de Linux para inyectar el código en procesos privilegiados durante la inicialización del contenedor, transformando lo que debe aislarse las cargas de trabajo en amenazas comprometidas por el sistema.
Analistas de Wiz.io identificado que la vulnerabilidad se deriva de un defecto fundamental en cómo el kit de herramientas de contenedores NVIDIA maneja los ganchos de la Iniciativa de Contenedores Open (OCI).
Carga de imágenes arbitrarias (fuente – Wiz.io)
El kit de herramientas, que sirve como el puente crítico entre las aplicaciones de IA en contenedores y las GPU NVIDIA, hereda inadvertidamente las variables de entorno de las imágenes del contenedor durante la fase de ejecución de gancho de createContainer.
Esto crea una superficie de ataque donde las variables de entorno malicioso pueden influir en los procesos privilegiados del huésped, lo que lleva a un compromiso completo del sistema.
Proceso técnico del ataque
El vector de ataque explota la relación de confianza del tiempo de ejecución del contenedor con el kit de herramientas de contenedores NVIDIA.
Cuando una imagen de contenedor malicioso contiene la variable de entorno ld_preload =/proc/self/cwd/poc.so, el proceso de gancho privilegiado del kit se carga y ejecuta el archivo de biblioteca compartida del atacante directamente desde el sistema de archivos de contenedor. El código de exploit demuestra esta técnica:-
Desde BusyBox env LD_PReload =/Proc/Self/Cwd/Poc.SO Agregar Poc.so/
Esta carga útil engañosamente simple otorga acceso a la raíz inmediata al sistema de host subyacente, evitando todos los mecanismos de aislamiento de contenedores.
La vulnerabilidad afecta a todas las versiones de kit de herramientas de contenedores NVIDIA hasta V1.17.7 y plantea riesgos sistémicos para entornos de nube de IA multiinquilino donde los clientes implementan imágenes de contenedores personalizados en una infraestructura de GPU compartida.
Las organizaciones que utilizan servicios de IA administrados de los principales proveedores de la nube enfrentan una exposición inmediata, ya que un solo contenedor malicioso podría comprometer los sistemas de host enteros y acceder a datos confidenciales que pertenecen a múltiples inquilinos.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
