La vulnerabilidad CVE-2024-0132 está calificada con un CVSS V3.1 de 9.0, lo que indica su severidad. Su explotación podría permitir a los atacantes acceder a datos confidenciales en los sistemas host, lo que podría resultar en el robo de información sensible o modelos de IA. Esto es especialmente preocupante para empresas que operan utilizando configuraciones predeterminadas o características específicas del kit de herramientas de contenedores de NVIDIA, así como aquellas que utilizan Docker en Linux.
Un componente adicional crítico descubierto durante la investigación es una vulnerabilidad de denegación de servicio (DoS) en Docker sobre sistemas Linux, donde el uso del tiempo de verificación puede permitir que contenedores especialmente diseñados accedan al sistema de archivos del host. Las versiones 1.17.3 y anteriores del kit de herramientas son particularmente vulnerables, mientras que la versión 1.17.4 requiere que ciertas características se habiliten explícitamente para ser explotables. Esto sugiere que muchas implementaciones podrían estar en riesgo, especialmente si no se ha hecho un seguimiento adecuado de los parches y actualizaciones.
El problema de DoS fue identificado debido a deficiencias en la gestión de las entradas de montaje en Linux. Cuando se crean nuevos contenedores con montajes que utilizan la propagación de enlace compartido, las entradas relacionadas no se eliminan adecuadamente, lo que puede llevar a un crecimiento explosivo de la tabla de montajes y finalmente agotar los descriptores de archivos disponibles. Esto impide crear nuevos contenedores y puede impedir el acceso al host, afectando severamente la operatividad de las organizaciones.
Para mitigar estas vulnerabilidades, se ofrecen varias mejores prácticas. Primordialmente, se recomienda restringir el acceso a la API de Docker para minimizar la exposición a ataques. Además, es aconsejable desactivar características no esenciales del kit de herramientas y establecer políticas de control de acceso rigurosas. Controles de seguridad adicionales, como el monitoreo regular de la tabla de montaje y auditorías de interacciones entre contenedores y host, son críticas para prevenir ataques.
Trend Micro ha respondido a estos problemas de seguridad con su plataforma Trend Vision One, diseñada para proporcionar visibilidad e capacidades de detección en contextos de riesgo cibernético, incluyendo la protección contra la explotación de vulnerabilidades como CVE-2024-0132. Esta plataforma ayuda a las organizaciones a identificar vulnerabilidades, malware y problemas de cumplimiento en imágenes de contenedores antes de que se desplieguen en producción. Esto reduce el riesgo que conlleva la exposición a ataques y mejora las capacidades de respuesta ante incidentes.
En resumen, la vulnerabilidad CVE-2024-0132 y su parche incompleto representan un riesgo significativo para organizaciones que utilizan las herramientas de contenedores de NVIDIA y Docker. Es fundamental que las empresas implementen prácticas de seguridad robustas y mantengan la visibilidad sobre sus entornos para protegerse contra una potencial explotación de estas vulnerabilidades. Además, contar con soluciones como Trend Vision One puede proporcionar un enfoque proactivo para gestionar estos riesgos cibernéticos.
Enlace de la fuente, haz clic para tener más información