- בלוג
- פרצה קריטית נמצאה ב-Nvidia Container Toolkit
פרצה קריטית נמצאה ב-Nvidia Container Toolkit
פרצה קריטית נמצאה ב-Nvidia Container Toolkit
פורסם ב 06-10-2024
פרצה חמורה התגלתה ב-Container Toolkit של חברת Nvidia– כלי שמאפשר לקונטיינרים (Containers) להשתמש במשאבי המעבד-הגרפי במערכת עליה הם “יושבים”. הפרצה מאפשרת לתוקף, לאחר ביצוע מתקפה מוצלחת, להשתלט על המערכת המארחת לגמרי. הכלי הוא חלק מפלטפורמת GPU Operator של Nvidia, הפגיעה גם היא.
את הפרצה גילו חוקרים של חברת WIZ, חברה שמספקת פתרונות לאבטחת יישומים וסביבות בענן. היא תוייגה כ-CVE-2024–0132, ודורגה 9.0 מתוך 10 בסולם CVSSv3.
הפרצה קיימת בגרסאות 1.16.1 ומטה של Container Toolkit, כמו גם בגירסאות 24.6.1 של GPU Operator.
הפרצה אינה מתקיימת כאשר ישנו שימוש ב-Container Device Interface (או בקיצור CDI) – היא מתקיימת רק בקונפיגורציית ברירת המחדל של Container Toolkit.
הפרצה מצויה בחולשת “זמן בדיקה עד זמן שימוש“, שנגרמת עקב “מירוץ תהליכים” המתרחש ב- Container Toolkit – מספר תהליכים העובדים ביחד, כאשר התנהגות המערכת תלויה בתזמונם. לפעמים התהליכם לא מסונכרנים או מתוזמנים כמו שצריך, ודבר זה יכול להביא לבאגים, לתקלות ולפרצות שונות.
במקרה זה, החולשה מאפשרת קיום של הפרדה בלתי מספקת בין הקונטיינר לבין המערכת עליה הקונטיינר “יושב”.
“זמן בדיקה עד זמן שימוש” (TOCTOU – Time of Check Time of Use) הוא מונח המתאר מחלקה של באגים המצויים בתוכנות, הנובעים מבדיקות של חלקי המערכת השונים (כמו אישורי אבטחה) והשימוש בתוצאות הבדיקה, כחלק ממירוץ התהליכים.
אלו באגים בעלי שכיחות גבוהה יותר במעכות מבוססות UNIX בתהליכים המתרחשים בין מערכות קבצים, אבל ניתן למצוא אותם גם במעברי מידע בין מסדי-נתונים שונים ובתהליכים הקשורים לשקעים (Sockets), כמו בפרצה המתוארת כאן.
איך הפרצה עובדת?
על מנת לבצע התקפה מוצלחת, קונטיינר בשליטת התוקף צריך לפעול על המערכת הפגיעה. הקונטיינר יכול להיות אחד כזה שהוטען במתכוון על ידי מישהו עם גישה למערכת (למשל, מערכת ענן משותפת שניתן להריץ עליה מספר קונטיינרים על ידי כמה משתמשים), או אחד כזה שניתן למשתמש ללא ידיעתו (הושג ממקור מפוקפק או ש”ניתן” למשתמש באמצעות הנדסה-חברתית).
כאשר הקונטיינר פועל על המערכת הפגיעה, התוקף, בעל הגישה לאותו קונטיינר “זדוני”, יכול לקבל גישה לשקע (Socket) המשמש לשיתוף המשאבים בין המערכת לקונטיינר. דרכו, ניתן להוציא לפועל פקודות שונות לקבלת הרשאות גבוהות במערכת, ולבסוף להשיג שליטה מלאה וגישה לקונטיינרים האחרים.
גישה זו מאפשרת לתוקף לגנוב מידע מהמערכות המשתמשות בקונטיינרים ולהדביק אותן בנוזקות (חלקן אפליקציות בפיתוח ומודלי AI).
נכון לעכשיו, החוקרים של WIZ לא מספקים פרטים טכניים נוספים על הפרצה ועל דרכי התקיפה באמצעותה. בדיווח שלהם, הם מציינים שזה כדי לתת לארגונים המשתמשים בפלטפורמה מספיק זמן כדי להעריך את הסיכונים הקיימים בעקבות הפרצה, ולהיערך בהתאם.
הם מוסיפים שיפורסמו פרטים נוספים ב”חלק 2″, שייכתב בהמשך, למי שמעוניין בפרטים נוספים – בין אם מתוך סקרנות, או מתוך רצון פרקטי להבין את הסכנה ולהתגונן.
גם חברת Nvidia עדכנה על הפרצה באתר שלה , ושחררה גירסאות עם עדכוני אבטחה לפרצות:
ניתן לעדכן את Container Toolkit לגירסה 1.16.2 כאן;
ואת GPU Operator לגירסה 24.6.2 כאן.
בנוסף, פרצה המתוייגת כ-CVE-2024-0133, נמצאה ב-Container Toolkit וב-GPU Operator . היא המאפשרת לתוקף, דרך קונטיינר, ליצור קבצים ריקים במערכת המארחת ודרכם לחבל בה.הפרצה משתמשת באותן חולשות הקיימות בפרצה CVE-2024–0132 המתוארת לעיל, וגם היא איננה רלוונטית כאשר משתמשים ב -CDI. היא תוייגה כ-4.1 מתוך 10 בסולם CVSSv3, ותוקנה באותם עדכונים שצויינו מעלה.
כמו תמיד, אנו ממליצים לכם לעדכן את המערכות שלכם בהקדם כדי להימנע מנזק מיותר, ומזמינים אתכם לפנות אלינו במידה ותצטרכו סיוע נוסף. צור קשר
