記事本文(要約)
サイバーセキュリティ研究者は、NVIDIA Container Toolkitの以前に修正された脆弱性(CVE-2024-0132)が不完全にパッチされていることを指摘しました。この脆弱性は、TOCTOU(Time-of-Check Time-of-Use)であり、コンテナ脱出攻撃を可能にし、ホストへの不正アクセスを許します。Trend Microの調査によると、この修正は不完全であり、Linux上のDockerにも関連するパフォーマンスの欠陥があることが判明しました。この欠陥は、DoS(サービス拒否)状態を引き起こす可能性があります。新たに発見された脆弱性はCVE-2025-23359で、ホスト上で任意のコードを実行できる可能性があります。これを軽減するために、Linuxのマウントテーブルの異常な成長を監視し、Docker APIアクセスを制限し、強いアクセス制御ポリシーを適用し、定期的な監査を実施することが推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 10 Apr 2025 19:43:00 +0530
Original URL: https://thehackernews.com/2025/04/incomplete-patch-in-nvidia-toolkit.html
詳細な技術情報
- CVE番号
- CVE-2024-0132:元々報告されていた脆弱性。
- CVE-2025-23359:不完全な修正が発覚した新たな脆弱性。
- 脆弱性の仕組み
- TOCTOU (Time-of-Check Time-of-Use) 脆弱性: この脆弱性は、リソースにアクセスする際に発生する競合状態(タイミングの不整合)を悪用します。特に、アクセスのチェック時点と使用時点の間に状態が変更されることで、攻撃者が予期しない操作を実行可能になる問題です。
- 攻撃手法
- コンテナエスケープ: 特別に細工されたコンテナを利用して、ホストのファイルシステムにアクセスし、任意のコマンドをroot権限で実行する可能性があります。
- パフォーマンス問題によるDoS: DockerのLinuxシステムで多数のマウントが設定されたコンテナを作成・削除する際に、マウントテーブルが異常に増大し、ファイルディスクリプターが枯渇することで、ホスト上で新たなコンテナを作成できなくなるリスクがあります。
- 潜在的な影響
- 機密データ漏洩: 攻撃者がホストの機密データにアクセス可能になる。
- 特権権限の不正使用: 任意コードの実行により、ホスト上での特権操作が可能になる。
- サービス妨害 (DoS): ホストのパフォーマンスが低下し、新規コンテナの作成が阻止され、ホストへの接続が困難になる。
- 推奨される対策
- 1. システムモニタリング: Linuxのマウントテーブルの異常な成長を監視し、異常を早期に発見する。
- 2. アクセス制限: Docker APIへのアクセスは認証された権限のある者のみに限定する。
- 3. 強力なアクセス制御ポリシー: 全てのアクセスおよび操作において強力な制約を設ける。
- 4. 定期的な監査: コンテナからホストへのファイルシステムのバインド、ボリュームマウント、およびソケット接続の定期的な監査を実施する。
- 5. ソフトウェアのアップデート: NVIDIA Container Toolkitを最新のバージョンに更新し、既知の脆弱性からシステムを保護する。
