{"id":1663740,"date":"2025-04-10T15:03:16","date_gmt":"2025-04-10T15:03:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/parche-incompleto-en-el-kit-de-herramientas-nvidia-deja-cve-2024-0132-abierto-a-los-escapes-de-contenedor\/"},"modified":"2025-04-10T15:03:21","modified_gmt":"2025-04-10T15:03:21","slug":"parche-incompleto-en-el-kit-de-herramientas-nvidia-deja-cve-2024-0132-abierto-a-los-escapes-de-contenedor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/parche-incompleto-en-el-kit-de-herramientas-nvidia-deja-cve-2024-0132-abierto-a-los-escapes-de-contenedor\/","title":{"rendered":"Parche incompleto en el kit de herramientas nvidia deja CVE-2024-0132 abierto a los escapes de contenedor"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad \/ vulnerabilidad del contenedor<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de seguridad cibern\u00e9tica han detallado un caso de un parche incompleto para una falla de seguridad previamente abordada que afecta el kit de herramientas de contenedores NVIDIA que, si se explota con \u00e9xito, podr\u00eda poner en riesgo los datos confidenciales.<\/p>\n

La vulnerabilidad original CVE-2024-0132 (puntaje CVSS: 9.0) es una vulnerabilidad de tiempo de uso (TCTOU) de tiempo de verificaci\u00f3n que podr\u00eda conducir a un ataque de escape de contenedores y permitir el acceso no autorizado al host subyacente.<\/p>\n

Si bien NVIDIA resolvi\u00f3 este defecto en septiembre de 2024, un nuevo an\u00e1lisis de Trend Micro ha revelado que la soluci\u00f3n est\u00e1 incompleta y que tambi\u00e9n existe una falla de rendimiento relacionada que afecta a Docker en Linux que podr\u00eda dar lugar a una condici\u00f3n de denegaci\u00f3n de servicio (DOS).<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Estos problemas podr\u00edan permitir a los atacantes escapar del aislamiento de contenedores, acceder a los recursos del hu\u00e9sped sensibles y causar graves interrupciones operativas”, TREND MICRO Investigador Abdelrahman Esmail dicho<\/a> En un nuevo informe publicado hoy.<\/p>\n

El hecho de que persista la vulnerabilidad de TCTOU significa que se podr\u00eda abusar de un contenedor especialmente elaborado para acceder al sistema de archivos host y ejecutar comandos arbitrarios con privilegios ra\u00edz. El fallas impacta la versi\u00f3n 1.17.4 Si la funci\u00f3n Permitir-Cuda-Compat-libs-de-continer est\u00e1 expl\u00edcitamente habilitado.<\/p>\n

“El defecto espec\u00edfico existe dentro de la funci\u00f3n Mount_files”, Trend Micro dicho<\/a>. “El problema resulta de la falta de bloqueo adecuado al realizar operaciones en un objeto. Un atacante puede aprovechar esta vulnerabilidad para aumentar los privilegios y ejecutar c\u00f3digo arbitrario en el contexto del host”.<\/p>\n

\"\"<\/a><\/div>\n

Sin embargo, para que esta escalada de privilegios funcione, el atacante ya debe haber obtenido la capacidad de ejecutar c\u00f3digo dentro de un contenedor.<\/p>\n

A la deficiencia se le ha asignado al identificador CVE CVE-2025-23359 (puntaje CVSS: 9.0), que anteriormente fue marcado por la firma de seguridad en la nube como tambi\u00e9n un derivaci\u00f3n para CVE-2024-0132 en febrero de 2025. dirigido<\/a> En la versi\u00f3n 1.17.4.<\/p>\n

La compa\u00f1\u00eda de seguridad cibern\u00e9tica dijo que tambi\u00e9n descubri\u00f3 un problema de rendimiento durante el an\u00e1lisis del CVE-2024-0132 que podr\u00eda conducir a una vulnerabilidad de DOS en la m\u00e1quina host. Afecta las instancias de Docker en los sistemas Linux.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Cuando se crea un nuevo contenedor con m\u00faltiples monturas configuradas usando (Bind-Propagation = Shared), se establecen m\u00faltiples rutas de padres\/hijos. Sin embargo, las entradas asociadas no se eliminan en la tabla de montaje de Linux despu\u00e9s de la terminaci\u00f3n del contenedor”, dijo Esmail.<\/p>\n

“Esto lleva a un crecimiento r\u00e1pido e incontrolable de la tabla de montaje, agotando los descriptores de archivos disponibles (FD). Eventualmente, Docker no puede crear nuevos contenedores debido al agotamiento de FD. Esta tabla de montaje excesivamente grande conduce a un gran problema de rendimiento, evitando que los usuarios se conecten al host (es decir, a trav\u00e9s de SSH)”.<\/p>\n

Para mitigar el problema, se recomienda monitorear la tabla de montaje de Linux para un crecimiento anormal, limitar el acceso a la API de Docker al personal autorizado, hacer cumplir las pol\u00edticas de control de acceso fuertes y realizar auditor\u00edas peri\u00f3dicas de las enlaces de archivos del contenedor a host, montajes de volumen y conexiones de socket.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n