Los investigadores de ciberseguridad han revelado una vulnerabilidad crítica de escape de contenedores en el kit de herramientas de contenedores NVIDIA que podría representar una amenaza severa para los servicios gestionados de la abundancia de IA.
La vulnerabilidad, rastreada como CVE-2025-23266, tiene una puntuación CVSS de 9.0 de 10.0. Ha sido notorio en código Nvidiascape por la empresa de seguridad en la abundancia de Google Wiz.
“El kit de herramientas de contenedores NVIDIA para todas las plataformas contiene una vulnerabilidad en algunos ganchos utilizados para inicializar el contenedor, donde un atacante podría ejecutar código injustificado con permisos elevados”, dijo Nvidia en un aviso para el error.
“Una correr exitosa de esta vulnerabilidad podría conducir a la ascensión de privilegios, manipulación de datos, divulgación de información y denegación de servicio”.
La deficiencia impacta todas las versiones del kit de herramientas de contenedores NVIDIA hasta e incluyendo el cámara de 1.17.7 y NVIDIA GPU hasta 25.3.0. El fabricante de GPU ha abordado en las versiones 1.17.8 y 25.3.1, respectivamente.
El conjunto de herramientas de contenedores NVIDIA se refiere a una colección de bibliotecas y utilidades que permiten a los usuarios construir y ejecutar contenedores Docker acelerados con GPU. El cámara de GPU NVIDIA está diseñado para implementar estos contenedores automáticamente en nodos GPU en un clúster Kubernetes.
Wiz, que compartió detalles del defecto en un prospección del jueves, dijo que la deficiencia afecta el 37% de los entornos de la abundancia, lo que permite que un atacante acceda, robe o manipule los datos confidenciales y los modelos patentados de todos los demás clientes que se ejecutan en el mismo hardware compartido por medio de una exploit de tres líneas.
La vulnerabilidad proviene de una configuración errónea en cómo el kit de herramientas maneja el arpón de la iniciativa de contenedor descubierto (OCI) “CreateContainer”. Un exploit exitoso para CVE-2025-23266 puede dar como resultado una adquisición completa del servidor. Wiz además caracterizó el defecto como “increíblemente” practicable de equipar.
“Al configurar LD_PReload en su Dockerfile, un atacante podría instruir al arpón NVIDIA-CTK que cargue una biblioteca maliciosa”, agregaron los investigadores de Wiz Nir Ohfeld y Shir Tamari.
“Para empeorar las cosas, el createContainer Hook se ejecuta con su directorio de trabajo establecido en el sistema de archivos raíz del contenedor. Esto significa que la biblioteca maliciosa se puede cargar directamente desde la imagen del contenedor con una ruta simple, completando la prisión de exploit”.
Todo esto se puede alcanzar con un “Dockerfile de tres líneas increíblemente simple” que carga el archivo de objeto compartido del atacante en un proceso privilegiado, lo que resulta en un escape de contenedores.
La divulgación se produce un par de meses posteriormente de que WIZ detallara un bypass para otra vulnerabilidad en el kit de herramientas de contenedores nvidia (CVE-2024-0132, puntaje CVSS: 9.0 y CVE-2025-23359, puntaje CVSS: 8.3) que podrían haberse abusado de alcanzar la aderción completa del host.
“Si correctamente la exageración sobre los riesgos de seguridad de la IA tiende a centrarse en los ataques futuristas basados en la IA, las vulnerabilidades de infraestructura ‘de la vieja escuela’ en la creciente pila de tecnología de IA siguen siendo la amenaza inmediata que los equipos de seguridad deberían priorizar”, dijo Wiz.
“Encima, esta investigación destaca, no por primera vez, que los contenedores no son una barrera de seguridad esforzado y no deben encargar en el único medio de aislamiento. Al diseñar aplicaciones, especialmente para entornos de múltiples inquilinos, uno siempre debe” contraer una vulnerabilidad “e implementar al menos una barrera de aislamiento esforzado, como la virtualización”.
