Ученые в области кибербезопасности обнаружили новый способ взлома уязвимости в программе NVIDIA Container Toolkit, который позволяет злоумышленникам получить доступ к компьютеру. Эта уязвимость получила идентификатор CVE-2025-23359 и оценку 8.3 балла по шкале безопасности.
Проблема затрагивает следующие версии программы:
Компания NVIDIA объявила, что проблема связана с уязвимостью TOCTOU (Time-of-Check to Time-of-Use). При атаке злоумышленник может использовать специальный контейнер, чтобы получить доступ к файлам на компьютере. Это открывает возможность запуска вредоносного кода, получения больших прав доступа, отказа в обслуживании и изменения данных.
Компания Wiz, специализирующаяся на безопасности в облаке, раскрыла дополнительные детали. Уязвимость CVE-2025-23359 является способом обойти уязвимость CVE-2024-0132 (оценка 9.0), которая была исправлена в сентябре 2024 года.
При атаке злоумышленник может получить доступ ко всем данным и процессам компьютера. Кроме того, злоумышленник может запускать привилегированные контейнеры через Unix-сокеты, что приводит к полной компрометации компьютера.
Исследователи обнаружили, что механизм монтирования файлов в NVIDIA Container Toolkit допускает использование символических ссылок, позволяя злоумышленнику загружать файлы из корневой директории компьютера в контейнер и запускать новые привилегированные контейнеры через Unix-сокеты.
Пользователям NVIDIA Container Toolkit рекомендуется обновить программу до последней версии и не отключать флаг «—no-cntlibs» в производственных средах.
