PoC Exploit Released for Critical NVIDIA AI Container Toolkit Vulnerability
2025/07/21 CyberSecurityNews — NVIDIA Container Toolkit に発見された深刻なコンテナ・エスケープの脆弱性により、世界中の AI インフラのセキュリティ基盤が脅かされている。この脆弱性は NVIDIAScape と命名され、CVE-2025-23266 として追跡されている。その CVSS スコアは 9.0 と評価されており、これまで報告されたクラウドベースの AI サービスの脆弱性の中で、最も深刻な脅威の一つとされている。
この脆弱性の悪用に成功した攻撃者は、コンテナの隔離を突破し、GPU 加速ワークロードを実行するホスト・システムの、完全な root 権限の取得を可能にする。
このエクスプロイトの、驚くほどシンプルな構造は、従来の複雑な攻撃ベクターとは一線を画している。研究者たちは、僅か3 行の Dockerfile を用いて、この脆弱性の悪用を実証している。つまり、攻撃者たちは、すべてのコンテナ・セキュリティ境界の回避を、この手法により可能にするとされる。
この悪意のペイロードは、Linux の LD_PRELOAD 環境変数を悪用し、コンテナ初期化中に特権プロセスへのコード注入を達成し、本来は隔離されるべきワークロードをシステム侵害の脅威へと変化させる。
Wiz.io のアナリストたちが特定したのは、NVIDIA Container Toolkit における Open Container Initiative (OCI) フックの処理方法に、この脆弱性が起因することだ。
.webp)
このツールキットは、コンテナ化された AI アプリケーションと NVIDIA GPU 間の重要なブリッジとして機能しているが、createContainer フェーズにおいてコンテナ・イメージから環境変数を誤って継承してしまうという問題を抱えている。この誤動作により、特権ホスト・プロセスに悪意の環境変数が影響を与え、システム全体を侵害する攻撃面が形成される。
技術的詳細
この攻撃ベクターは、コンテナ・ランタイムと NVIDIA Container Toolkit の間の、信頼関係を悪用するものである。具体的に言うと、悪意のコンテナ・イメージに、LD_PRELOAD=/proc/self/cwd/poc.so の環境変数を取り込むことで、コンテナ・ファイルシステム上に攻撃者が指定する共有ライブラリに、ツールキットの特権フック・プロセスがダイレクトに読み込まれ、実行されていく。
この手法を実証するエクスプロイト・コードは、以下の通りである:
FROM busybox
ENV LD_PRELOAD=/proc/self/cwd/poc.so
ADD poc.so /
この単純に見えるペイロードにより、コンテナの隔離機構は完全に回避され、基盤となるホスト・システムに対する root アクセス権利が、即座に取得されるという。
この脆弱性が影響を及ぼす範囲は、NVIDIA Container Toolkit のバージョン v1.17.7 以下であり、特に共有 GPU インフラ上にカスタム・コンテナ・イメージを展開する、マルチ・テナント AI クラウド環境において、深刻なリスクをもたらす可能性がある。
主要クラウド・プロバイダーのマネージド AI サービスを利用する組織においては、単一の悪意のコンテナにより、ホスト・システム全体が侵害される可能性がある。それにより、複数テナントの機密データへの不正アクセスが生じるため、深刻なセキュリティ上の脅威が浮上している。
AI アプリケーションで広く使われる、NVIDIA Container Toolkit に深刻な脆弱性が発見されました。とても簡単な手順で、ホスト・システムの乗っ取りにいたるという、きわめて危険な脆弱性です。この脆弱性の第一報は、2025/07/17 の「NVIDIA Container Toolkit の脆弱性 CVE-2025-23266/23267 が FIX:特権昇格/DoS 攻撃の可能性」です。よろしければ、NVIDIA で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.