Dos vulnerabilidades en el software de NVIDIA para IA ponen en riesgo el 35% de la nube al dejar en bandeja de plata los recursos de sus GPU

NVIDIA ha tenido que abordar dos vulnerabilidades en su software para IA, donde según se ha estimado ha puesto en jaque al 35% de los servicios en la nube para Inteligencia Artificial. Los descubridores catalogan una de estas vulnerabilidades como grave, mientras que la otra es crítica con un 9 sobre 10, donde están afectados en concreto los softwares para IA NVIDIA Container Toolkit y GPU Operator.

Hay varios problemas planteados con estos programas tan importantes a la hora de gestionar los centros de datos en la nube, donde los agujeros son tan grandes que se ha puesto de relieve la seguridad de los datos donde se alojan las GPU de los verdes. De hecho, aunque no todos los servidores y centros de datos están afectados, los que lo estén no solamente deberán parchear, sino también tendrán que crear una imagen de contenedor diseñada específicamente para ellos.

NVIDIA tiene dos vulnerabilidades en su software destinado a IA en la nube

NVIDIA-vulnerabilidades-en-su-software-de-IA-Container-Toolkit-y-GPU-Operator

Posiblemente la interpretación más simple y directa sobre qué hace la vulnerabilidad dentro de NVIDIA Container Toolkit la haya dado Red Hat:

Las versiones afectadas contienen una vulnerabilidad de tiempo de uso y verificación (TOCTOU) cuando se utilizan con la configuración predeterminada, donde una imagen de contenedor diseñada específicamente puede obtener acceso al sistema de archivos del host.

Este problema no afecta los casos de uso donde se utiliza CDI. Una explotación exitosa de esta vulnerabilidad puede provocar la ejecución de código, la denegación de servicio, la escalada de privilegios, la divulgación de información y la manipulación de datos.

Esta vulnerabilidad está denominada como CVE-2024-0132, y también afecta al GPU Operator de NVIDIA, ambas descubiertas por las investigaciones de los proveedores de seguridad de la IA y en la nube de Wiz Research.

Igualmente, hay una segunda vulnerabilidad descrita como CVE-2024-0133 que también afecta a NVIDIA Container Toolkit, pero esta no es crítica como la anterior, es de gravedad media.

Más del 35% de los entornos de la nube están afectados

Historial-NVIDIA-Container-Toolkit-en-GitHub

Aunque la primera vulnerabilidad proporciona a las aplicaciones de IA en distintos contenedores acceso a los recursos de la GPU, esta segunda también consigue que el atacante obtenga acceso completo al sistema host subyacente. Esto quiere decir que los datos están en un grave riesgo, y en cierta manera también la infraestructura en general del servidor.

Sabiendo que NVIDIA Container Toolkit permite compartir una GPU entre distintas cargas de trabajo y usuarios como estándar de la industria para contenedores al dominar los verdes el sector de la IA, Wiz Research dice que más del 35% de todos los entornos de la nube están afectados por ambas vulnerabilidades.

Por seguridad, los boletines de información de Wiz y de NVIDIA han omitido información sobre el exploit hasta que tengan la solución para las vulnerabilidades, las cuales han llegado hoy con las versiones Container Toolkit v1.16.2 y GPU Operator 24.6.2. Los verdes lanzaron este mensaje sin desvelar la información del exploit, algo que dijeron iban a hacer:

Se recomienda encarecidamente aplicar parches a los hosts de contenedores que ejecutan Container Toolkit en versiones vulnerables, al tiempo que se priorizan los hosts que probablemente ejecuten contenedores, especialmente aquellos creados a partir de imágenes originadas en fuentes no confiables”

Por tanto, según la arquitectura del entorno y cómo se hayan generado las imágenes del contenedor, la urgencia de instalar estos parches con las correspondientes versiones varía. La citada Red Hat, por ejemplo, no está afectada al tener imágenes personalizadas de estos, pero cualquiera que tenga imágenes de contenedores de terceros o modelos de IA de empresas con fuentes no confiables debe de implementar los parches para estas vulnerabilidades en el software de NVIDIA para IA.