تصحيح غير مكتمل في مجموعة أدوات NVIDIA يترك CVE-2024-0132 OPE
قام باحثو الأمن السيبراني بتفصيل حالة تصحيح غير مكتمل لخلل أمان تم تناوله مسبقًا يؤثر على مجموعة أدوات حاوية NVIDIA التي ، إذا تم استغلالها بنجاح ، يمكن أن تعرض البيانات الحساسة للخطر.
الضعف الأصلي CVE-2024-0132 (CVSS SCORE: 9.0) هو ضعف وقت الاستخدام (TOCTOU) التي يمكن أن تؤدي إلى هجوم الهروب من الحاوية وتسمح بالوصول غير المصرح به إلى المضيف الأساسي.
بينما تم حل هذا العيب بواسطة NVIDIA في سبتمبر 2024 ، كشف تحليل جديد من Trend Micro عن الإصلاح غير مكتمل وأن هناك أيضًا عيبًا في الأداء ذي الصلة الذي يؤثر على Docker على Linux يمكن أن يؤدي إلى حالة رفض الخدمة (DOS).
“هذه القضايا يمكن أن تمكن المهاجمين من الهروب من عزل الحاويات ، والوصول إلى موارد المضيف الحساسة ، والتسبب قال في تقرير جديد نشر اليوم.
حقيقة أن ثغرة توكو لا تزال مستمرة تعني أنه يمكن إساءة استخدام حاوية مصممة خصيصًا للوصول إلى نظام الملفات المضيف وتنفيذ الأوامر التعسفية بامتيازات الجذر. يؤثر العيوب على الإصدار 1.17.4 إذا تم تمكين الميزة التي تسمح بها cuda-compat-libs-from-container بشكل صريح.
“يوجد عيب محدد داخل وظيفة Mount_files” ، Trend Micro قال. “تنتج المشكلة عن عدم وجود قفل مناسب عند إجراء العمليات على كائن ما. يمكن للمهاجم الاستفادة من هذه الثغرة الأمنية لتصاعد الامتيازات وتنفيذ التعليمات البرمجية التعسفية في سياق المضيف.”
ومع ذلك ، من أجل تصعيد الامتياز هذا ، يجب أن يكون المهاجم قد حصل بالفعل على القدرة على تنفيذ التعليمات البرمجية داخل حاوية.
تم تعيين عيب معرف CVE CVE-2025-23359 (CVSS SCORE: 9.0) ، والذي تم وضع علامة عليه مسبقًا من قبل شركة الأمن السحابية Wiz باعتباره أيضًا ممرًا لـ CVE-2024-0132 مرة أخرى في فبراير 2025. لقد كان الأمر كذلك. معالجة في الإصدار 1.17.4.
قالت شركة الأمن السيبراني إنها اكتشفت أيضًا مشكلة في الأداء أثناء تحليل CVE-2024-0132 والتي قد تؤدي إلى ضعف DOS على آلة المضيف. يؤثر على مثيلات Docker على أنظمة Linux.
وقال Esmail: “عندما يتم إنشاء حاوية جديدة مع تهيئة متعددة تم تكوينها باستخدام (bind-propagation = مشتركة) ، يتم إنشاء مسارات الوالد/الطفل المتعددة. ومع ذلك ، لا تتم إزالة الإدخالات المرتبطة في جدول تركيب Linux بعد إنهاء الحاوية”.
“هذا يؤدي إلى نمو سريع لا يمكن السيطرة عليه لجدول التثبيت ، واصفات الملفات المتاحة المرهقة (FD). في النهاية ، لا يستطيع Docker إنشاء حاويات جديدة بسبب استنفاد FD. يؤدي هذا الجدول الكبير المفرط إلى مشكلة أداء ضخمة ، مما يمنع المستخدمين من الاتصال بالمضيف (أي عبر SSH).”
للتخفيف من المشكلة ، يُنصح بمراقبة طاولة تركيب Linux للنمو غير الطبيعي ، والحد من وصول API Docker إلى الموظفين المعتمدين ، وفرض سياسات التحكم القوية في الوصول ، وإجراء عمليات تدقيق دورية لربط نظام الملفات من الحاويات إلى المستضافة ، وأبناء الحجم ، وتوصيلات المقبس.
إرسال التعليق