Pesquisadores de cibersegurança detalharam um caso de correção incompleta para uma falha de segurança previamente endereçada que afeta o NVIDIA Container Toolkit, que, se explorada com sucesso, poderia colocar dados sensíveis em risco.
A vulnerabilidade original,
CVE-2024-0132
(pontuação CVSS: 9.0), é uma vulnerabilidade Time-of-Check Time-of-Use (TOCTOU) que poderia levar a um ataque de escape de container e permitir acesso não autorizado ao host subjacente.
Embora essa falha tenha sido resolvida pela NVIDIA em setembro de 2024, uma nova análise da Trend Micro revelou que a correção foi incompleta e que também existe uma falha de desempenho relacionada afetando o Docker em sistemas Linux, que poderia resultar em uma condição de denial-of-service (DoS).
"Essas questões poderiam permitir aos atacantes escapar da isolamento do container, acessar recursos sensíveis do host e causar sérias interrupções operacionais," disse o pesquisador da Trend Micro, Abdelrahman Esmail, em um novo relatório publicado hoje.
O fato de a vulnerabilidade TOCTOU persistir significa que um container especialmente criado poderia ser abusado para acessar o sistema de arquivos do host e executar comandos arbitrários com privilégios de root.
A falha impacta a versão 1.17.4 se o recurso allow-cuda-compat-libs-from-container for explicitamente habilitado.
"A falha específica existe dentro da função mount_files," disse a Trend Micro.
O problema resulta da falta de bloqueio adequado ao realizar operações em um objeto.
Um atacante pode explorar essa vulnerabilidade para escalar privilégios e executar código arbitrário no contexto do host.
Porém, para que essa escalada de privilégios funcione, o atacante já deve ter obtido a capacidade de executar código dentro de um container.
O problema foi designado com o identificador CVE
CVE-2025-23359
(pontuação CVSS: 9.0), que havia sido sinalizado anteriormente pela firma de segurança em nuvem Wiz como uma maneira de burlar a
CVE-2024-0132
em fevereiro de 2025.
Ele foi abordado na versão 1.17.4.
A empresa de cibersegurança disse que também descobriu um problema de desempenho durante a análise da
CVE-2024-0132
que poderia potencialmente levar a uma vulnerabilidade de DoS na máquina host.
Isso afeta instâncias do Docker em sistemas Linux.
"Quando um novo container é criado com múltiplos mounts configurados usando (bind-propagation=shared), múltiplos caminhos pai/filho são estabelecidos.
No entanto, as entradas associadas não são removidas na tabela de mounts do Linux após a terminação do container," disse Esmail.
Isso leva a um crescimento rápido e incontrolável da tabela de mounts, esgotando os descritores de arquivo disponíveis (fd).
Eventualmente, o Docker é incapaz de criar novos containers devido à exaustão de fd.
Esta tabela de mounts excessivamente grande leva a um enorme problema de desempenho, impedindo os usuários de se conectarem ao host (i.e., via SSH).
Para mitigar o problema, é aconselhável monitorar a tabela de mounts do Linux para crescimento anormal, limitar o acesso à API do Docker ao pessoal autorizado, aplicar políticas de controle de acesso rigorosas e realizar auditorias periódicas dos bindings de sistema de arquivos de container para host, montagens de volume e conexões de socket.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...