Los investigadores de seguridad cibernética han detallado un caso de un parche incompleto para una falla de seguridad previamente abordada que afecta el kit de herramientas de contenedores NVIDIA que, si se explota con éxito, podría poner en riesgo los datos confidenciales.
La vulnerabilidad original CVE-2024-0132 (puntaje CVSS: 9.0) es una vulnerabilidad de tiempo de uso (TCTOU) de tiempo de verificación que podría conducir a un ataque de escape de contenedores y permitir el acceso no autorizado al host subyacente.
Si bien NVIDIA resolvió este defecto en septiembre de 2024, un nuevo análisis de Trend Micro ha revelado que la solución está incompleta y que también existe una falla de rendimiento relacionada que afecta a Docker en Linux que podría dar lugar a una condición de denegación de servicio (DOS).
«Estos problemas podrían permitir a los atacantes escapar del aislamiento de contenedores, acceder a los recursos del huésped confidenciales y causar graves interrupciones operativas», dijo hoy en un nuevo informe publicado hoy.
El hecho de que persista la vulnerabilidad de TCTOU significa que se podría abusar de un contenedor especialmente elaborado para acceder al sistema de archivos host y ejecutar comandos arbitrarios con privilegios raíz. El fallas impacta la versión 1.17.4 Si la función Permitir-Cuda-Compat-libs-de-continer está explícitamente habilitado.
«El defecto específico existe dentro de la función Mount_files», dijo Trend Micro. «El problema resulta de la falta de bloqueo adecuado al realizar operaciones en un objeto. Un atacante puede aprovechar esta vulnerabilidad para aumentar los privilegios y ejecutar código arbitrario en el contexto del host».
Sin embargo, para que esta escalada de privilegios funcione, el atacante ya debe haber obtenido la capacidad de ejecutar código dentro de un contenedor.
A la deficiencia se le ha asignado al identificador CVE CVE-2025-23359 (puntaje CVSS: 9.0), que anteriormente fue marcado por la firma de seguridad en la nube Wiz como también un derivación para CVE-2024-0132 en febrero de 2025. Se ha abordado en la versión 1.17.4.
La compañía de seguridad cibernética dijo que también descubrió un problema de rendimiento durante el análisis del CVE-2024-0132 que podría conducir a una vulnerabilidad de DOS en la máquina host. Afecta las instancias de Docker en los sistemas Linux.
«Cuando se crea un nuevo contenedor con múltiples monturas configuradas usando (Bind-Propagation = Shared), se establecen múltiples rutas de padres/hijos. Sin embargo, las entradas asociadas no se eliminan en la tabla de montaje de Linux después de la terminación del contenedor», dijo Esmail.
«Esto lleva a un crecimiento rápido e incontrolable de la tabla de montaje, agotando los descriptores de archivos disponibles (FD). Eventualmente, Docker no puede crear nuevos contenedores debido al agotamiento de FD. Esta tabla de montaje excesivamente grande conduce a un gran problema de rendimiento, evitando que los usuarios se conecten al host (es decir, a través de SSH)».
Para mitigar el problema, se recomienda monitorear la tabla de montaje de Linux para un crecimiento anormal, limitar el acceso a la API de Docker al personal autorizado, hacer cumplir las políticas de control de acceso fuertes y realizar auditorías periódicas de las enlaces de archivos del contenedor a host, montajes de volumen y conexiones de socket.