雲端安全軟體公司Wiz研究人員發現,輝達旗下的Container Toolkit與GPU Operator中存在的重大漏洞(CVE-2024-0132),對AI應用及雲端環境的安全構成「嚴重風險」,此漏洞已經影響了超過三分之一的雲端環境。
編譯/莊閔棻
雲端安全軟體公司Wiz研究人員發現,輝達旗下的Container Toolkit與GPU Operator中存在的重大漏洞(CVE-2024-0132),對AI應用及雲端環境的安全構成「嚴重風險」,此漏洞已經影響了超過三分之一的雲端環境,尤其對依賴GPU支持的容器化AI應用帶來潛在威脅。不過,輝達方面已經發布了漏洞修補程式,建議使用者立即進行更新。
超過35%的雲端環境面臨風險
據報導,Wiz研究人員指出,此漏洞影響所有使用輝達Container Toolkit、提供GPU資源的AI App,無論是在雲端還是內部部署的系統中運行,由於Container Toolkit的廣泛使用,估計全球超過35%的雲端環境處於脆弱狀態。
敏感數據與基礎設施恐有威脅
根據研究報告,該漏洞可能讓攻擊者從受影響的容器(Container)映像檔中逃脫,獲取對底層主機系統的完全控制權,這對敏感數據及基礎設施構成了嚴重威脅,輝達已將該漏洞的嚴重性評分為9.0(滿分為10.0)。截至目前,輝達在9月25日發布的安全公告及Wiz隨後一天的部落格中,均未提及該漏洞是否已被實際利用,研究人員表示,為給受影響的組織留出時間來修補漏洞,暫時不公開漏洞的利用方式。
輝達已發布漏洞修補程式
據了解,輝達已針對該漏洞發布修補程式,適用於Container Toolkit v1.16.2和GPU Operator 24.6.2版本,Wiz研究人員強烈建議大家,運行這些工具的組織立即進行更新,尤其是那些使用來自不受信任來源映像的主機,更應優先處理。
研究人員給出修補優先級建議
Wiz建議,運行時的驗證可幫助確定修補的優先次序,以便將修補工作集中在確實使用該工具包的實例上,最終,修補漏洞的緊迫性取決於組織環境的架構,及對運行映像的信任程度,特別是允許第三方容器映像檔或AI模型的環境,由於漏洞可能透過惡意映像被利用,面臨的風險更高。
參考資料:CRN
※探索職場,透視薪資行情,請參考【科技類-職缺百科】幫助你找到最適合的舞台!
這篇文章 輝達旗下2工具存在「嚴重風險」 漏洞修補程式釋出 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。
