Los investigadores de ciberseguridad han revelado una vulnerabilidad crítica de escape de contenedores en el kit de herramientas de contenedores NVIDIA que podría representar una amenaza severa para los servicios gestionados de la aglomeración de IA.
La vulnerabilidad, rastreada como CVE-2025-23266, tiene una puntuación CVSS de 9.0 de 10.0. Ha sido popular en código Nvidiascape por la empresa de seguridad en la aglomeración de Google Wiz.
«El kit de herramientas de contenedores NVIDIA para todas las plataformas contiene una vulnerabilidad en algunos ganchos utilizados para inicializar el contenedor, donde un atacante podría ejecutar código injustificado con permisos elevados», dijo Nvidia en un aviso para el error.
«Una correr exitosa de esta vulnerabilidad podría conducir a la ascenso de privilegios, manipulación de datos, divulgación de información y denegación de servicio».
La deficiencia impacta todas las versiones del kit de herramientas de contenedores NVIDIA hasta e incluyendo el cámara de 1.17.7 y NVIDIA GPU hasta 25.3.0. El fabricante de GPU ha abordado en las versiones 1.17.8 y 25.3.1, respectivamente.
El conjunto de herramientas de contenedores NVIDIA se refiere a una colección de bibliotecas y utilidades que permiten a los usuarios construir y ejecutar contenedores Docker acelerados con GPU. El cámara de GPU NVIDIA está diseñado para implementar estos contenedores automáticamente en nodos GPU en un clúster Kubernetes.
Wiz, que compartió detalles del defecto en un prospección del jueves, dijo que la deficiencia afecta el 37% de los entornos de la aglomeración, lo que permite que un atacante acceda, robe o manipule los datos confidenciales y los modelos patentados de todos los demás clientes que se ejecutan en el mismo hardware compartido por medio de una exploit de tres líneas.
La vulnerabilidad proviene de una configuración errónea en cómo el kit de herramientas maneja el garfio de la iniciativa de contenedor destapado (OCI) «CreateContainer». Un exploit exitoso para CVE-2025-23266 puede dar como resultado una adquisición completa del servidor. Wiz igualmente caracterizó el defecto como «increíblemente» realizable de pertrechar.
«Al configurar LD_PReload en su Dockerfile, un atacante podría instruir al garfio NVIDIA-CTK que cargue una biblioteca maliciosa», agregaron los investigadores de Wiz Nir Ohfeld y Shir Tamari.
«Para empeorar las cosas, el createContainer Hook se ejecuta con su directorio de trabajo establecido en el sistema de archivos raíz del contenedor. Esto significa que la biblioteca maliciosa se puede cargar directamente desde la imagen del contenedor con una ruta simple, completando la condena de exploit».
Todo esto se puede conquistar con un «Dockerfile de tres líneas increíblemente simple» que carga el archivo de objeto compartido del atacante en un proceso privilegiado, lo que resulta en un escape de contenedores.
La divulgación se produce un par de meses luego de que WIZ detallara un bypass para otra vulnerabilidad en el kit de herramientas de contenedores nvidia (CVE-2024-0132, puntaje CVSS: 9.0 y CVE-2025-23359, puntaje CVSS: 8.3) que podrían haberse abusado de conquistar la aderción completa del host.
«Si perfectamente la exageración sobre los riesgos de seguridad de la IA tiende a centrarse en los ataques futuristas basados en la IA, las vulnerabilidades de infraestructura ‘de la vieja escuela’ en la creciente pila de tecnología de IA siguen siendo la amenaza inmediata que los equipos de seguridad deberían priorizar», dijo Wiz.
«Por otra parte, esta investigación destaca, no por primera vez, que los contenedores no son una barrera de seguridad resistente y no deben aguardar en el único medio de aislamiento. Al diseñar aplicaciones, especialmente para entornos de múltiples inquilinos, uno siempre debe» admitir una vulnerabilidad «e implementar al menos una barrera de aislamiento resistente, como la virtualización».
