요약 : 보안 외신 블리핑컴퓨터에 의하면 엔비디아 컨테이너 툴킷(Nvidia Container Toolkit)에서 초고위험도 취약점이 발견됐다고 한다. 이 소프트웨어와 연결된 모든 인공지능 애플리케이션에 영향을 주는 취약점으로, CVE-2024-0132라는 관리 번호가 부여됐다. 익스플로잇에 성공할 경우 공격자는 컨테이너 탈출 공격을 실시할 수 있게 되며, 결국 호스트 시스템에 대한 완전 접근 권한을 가져갈 수 있게 된다. 그 후 명령을 실행하거나 민감한 정보를 빼돌리는 게 가능해진다. CVSS 기준 9.0점을 받았다.


배경 : 호스트 시스템으로부터 GPU를 확실하게 컨테이너화 하지 못하는 것 때문에 생기는 오류로, 1.61.1 이하 버전에서 발견된다. 공유된 GPU 자원들을 통해 직접적인 익스플로잇도 가능하고, 피해 시스템을 통해 좋지 않은 출처의 이미지를 다운로드 하는 방식의 간접적인 익스플로잇 공격도 가능하다고 한다.

말말말 : “취약점을 발견해 엔비디아에 제보한 게 9월 1일의 일입니다. 엔비디아는 이를 수일 만에 접수했고 같은 달 26일에 패치 배포를 시작할 수 있었습니다.” -위즈(Wiz)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>