Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Una vulnerabilidad crítica del kit de herramientas de contenedor de NVIDIA podría otorgar acceso completo al host a los atacantes
  • Tecnología

Una vulnerabilidad crítica del kit de herramientas de contenedor de NVIDIA podría otorgar acceso completo al host a los atacantes

teknomers 28 de Eylül de 2024 (Last updated: 28 de Eylül de 2024) 3 minutes read
Una vulnerabilidad crítica del kit de herramientas de contenedor de


27 de septiembre de 2024Ravie LakshmananSeguridad de contenedores/Computación en la nube

Se ha revelado una falla de seguridad crítica en NVIDIA Container Toolkit que, si se explota con éxito, podría permitir a los actores de amenazas escapar de los límites de un contenedor y obtener acceso completo al host subyacente.

La vulnerabilidad, rastreada como CVE-2024-0132tiene una puntuación CVSS de 9,0 sobre un máximo de 10,0. Se ha solucionado en NVIDIA Container Toolkit versión v1.16.2 y NVIDIA GPU Operador versión 24.6.2.

“NVIDIA Container Toolkit 1.16.1 o anterior contiene un tiempo de verificación de tiempo de uso (TOCTOU) vulnerabilidad cuando se usa con la configuración predeterminada donde una imagen de contenedor diseñada específicamente puede obtener acceso al sistema de archivos del host”, NVIDIA dicho en un aviso.

Ciberseguridad

“Una explotación exitosa de esta vulnerabilidad puede conducir a la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos”.

El problema afecta a todas las versiones de NVIDIA Container Toolkit hasta la v1.16.1 inclusive, y a Nvidia GPU Operador hasta la 24.6.1 inclusive. Sin embargo, no afecta los casos de uso en los que se utiliza la interfaz de dispositivo contenedor (CDI).

La empresa de seguridad en la nube Wiz, que descubrió e informó la falla a NVIDIA el 1 de septiembre de 2024, dijo que podría permitir que un atacante que controle las imágenes del contenedor ejecutadas por Toolkit realice un escape del contenedor y obtenga acceso completo al host subyacente.

En un escenario de ataque hipotético, un actor de amenazas podría convertir la deficiencia en un arma creando una imagen de contenedor no autorizada que, cuando se ejecuta en la plataforma de destino, ya sea directa o indirectamente, le otorga acceso completo al sistema de archivos.

Esto podría materializarse en forma de un ataque a la cadena de suministro en el que se engaña a la víctima para que ejecute la imagen maliciosa o, alternativamente, a través de servicios que permitan compartir recursos de GPU.

“Con este acceso, el atacante ahora puede acceder a los sockets Unix de Container Runtime (docker.sock/containerd.sock)”, los investigadores de seguridad Shir Tamari, Ronen Shustin y Andres Riancho dicho.

“Estos sockets se pueden utilizar para ejecutar comandos arbitrarios en el sistema host con privilegios de root, tomando efectivamente el control de la máquina”.

Ciberseguridad

El problema plantea un riesgo grave para los entornos multiinquilino orquestados, ya que podría permitir que un atacante escape del contenedor y obtenga acceso a datos y secretos de otras aplicaciones que se ejecutan en el mismo nodo, e incluso en el mismo clúster.

Los aspectos técnicos del ataque se han retenido en esta etapa para evitar esfuerzos de explotación. Se recomienda encarecidamente que los usuarios tomen medidas para aplicar los parches y protegerse contra posibles amenazas.

“Si bien el revuelo sobre los riesgos de seguridad de la IA tiende a centrarse en ataques futuristas basados ​​en IA, las vulnerabilidades de la infraestructura de la ‘vieja escuela’ en la creciente tecnología de IA siguen siendo el riesgo inmediato que los equipos de seguridad deben priorizar y proteger contra”, dijeron los investigadores. .

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La obsesión de los trolls en línea por la desaparición de Nicola Bulley era un “monstruo” fuera de control, dice su pareja
Next: Pastillas entre caramelos o coca cola en un cargador: estos son los hallazgos de droga más llamativos en Schiphol

Related Stories

Apple AirPods Max a 354,80 € en lugar de 579
  • Tecnología

Apple AirPods Max a 354,80 € en lugar de 579 €: récord de disminución en Teknomers

teknomers 17 de Temmuz de 2026
Después de años de fracasos, Shein está a punto de
  • Tecnología

Después de años de fracasos, Shein está a punto de salir a Bolsa

teknomers 17 de Temmuz de 2026
Opera registra un crecimiento del 103% en Francia en iPhone
  • Tecnología

Opera registra un crecimiento del 103% en Francia en iPhone

teknomers 17 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa Mundial 2026: Anillos de la Copa Mundial para los ganadores mientras Donald Trump asiste a la final

teknomers 17 de Temmuz de 2026
  • General

Al menos 20 niños y 1 adulto mueren en un accidente de autobús escolar en Uganda

teknomers 17 de Temmuz de 2026
  • Deporte

Tour de Francia 2026: ¿a qué hora y en qué canal de TV ver la 13.ª etapa?

teknomers 17 de Temmuz de 2026
«No nací en esa época»: por qué los hinchas argentinos
  • General

«No nací en esa época»: por qué los hinchas argentinos le reprochan a Emiliano Martínez sus comentarios sobre las Malvinas

teknomers 17 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.