Uma recente investigação expôs novos riscos de segurança cibernética relacionados ao uso do NVIDIA Container Toolkit, mesmo após a empresa anunciar a correção da vulnerabilidade CVE-2024-0132. A falha, de natureza crítica, ainda pode ser explorada por agentes maliciosos devido a uma mitigação incompleta, colocando em risco a integridade de servidores e ambientes em nuvem que dependem de containers baseados em Docker.
Entenda a vulnerabilidade CVE-2024-0132
Classificada com uma pontuação CVSS de 9.0, a falha CVE-2024-0132 é do tipo TOCTOU (Time-of-Check Time-of-Use). Esse tipo de brecha ocorre quando há uma janela entre a verificação de uma condição de segurança e o uso do recurso verificado, permitindo que invasores manipulem o estado do sistema nesse intervalo.
No contexto do NVIDIA Toolkit, a falha permite a quebra da contenção dos containers, oferecendo a um invasor a chance de executar código com privilégios de administrador diretamente no sistema operacional do host. Apesar de a NVIDIA ter anunciado a correção em setembro de 2024, uma nova análise da Trend Micro revelou que a correção não tratou completamente a causa raiz do problema.
Exploração e impacto no ambiente Linux
A exploração dessa falha exige que o atacante já tenha a capacidade de executar código malicioso dentro de um container comprometido. A partir disso, ele pode manipular operações internas e escalar privilégios, acessando o sistema de arquivos do host, o que representa uma séria ameaça à segurança em infraestrutura de containers.
Além disso, a Trend Micro identificou um novo vetor de ataque, registrado como CVE-2025-23359, igualmente classificado com CVSS 9.0. Essa nova variante decorre de um comportamento incorreto na função mount_files, na qual faltam mecanismos de bloqueio adequados durante operações em objetos compartilhados.
Com isso, containers maliciosos podem explorar essa brecha para executar comandos com acesso root, intensificando os riscos para organizações que ainda não atualizaram suas instâncias do NVIDIA Container Toolkit para a versão 1.17.4.
Condição de negação de serviço (DoS) afeta estabilidade do sistema
Outro aspecto alarmante do relatório divulgado diz respeito a um problema de desempenho que pode resultar em condições de negação de serviço (DoS). Ao utilizar múltiplas montagens com a opção bind-propagation=shared, o sistema Linux acaba acumulando entradas na tabela de montagens sem removê-las adequadamente após o encerramento dos containers.
Esse acúmulo progressivo leva ao esgotamento de descritores de arquivos no sistema, impossibilitando a criação de novos containers e até mesmo conexões básicas como via SSH. Tais limitações comprometem diretamente a estabilidade operacional dos ambientes que utilizam Docker e NVIDIA Toolkit em conjunto.
Recomendação de atualização e boas práticas
Para mitigar os riscos apresentados, especialistas em segurança recomendam a atualização imediata para a versão 1.17.4 do NVIDIA Container Toolkit, onde a variante CVE-2025-23359 foi tratada de forma eficaz. A nova versão inclui correções para os mecanismos de montagem e gestão de permissões que estavam vulneráveis.
Empresas que fazem uso intensivo de containers para aplicações em larga escala, como inteligência artificial, análise de dados e pipelines de machine learning, devem priorizar essa atualização, bem como realizar auditorias de segurança regulares nos ambientes virtualizados.
A importância da segurança em containers
A crescente adoção de soluções baseadas em containers tem transformado a forma como sistemas são implantados e gerenciados, especialmente em infraestruturas de computação em nuvem. No entanto, essa flexibilidade vem acompanhada de novas responsabilidades em relação à segurança.
Falhas como a CVE-2024-0132 e sua variante demonstram que a simples atualização de software nem sempre é suficiente. É fundamental compreender a arquitetura do sistema, identificar pontos vulneráveis e implementar mecanismos de controle eficazes para prevenir a escalada de privilégios não autorizada.
A exposição contínua causada por vulnerabilidades no NVIDIA Container Toolkit serve como um alerta para empresas e profissionais de TI que lidam com ambientes baseados em containers. A detecção de novas brechas mesmo após correções demonstra a complexidade envolvida na proteção desses sistemas.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
