Siber güvenlik araştırmacıları, daha önce giderildiği düşünülen NVIDIA Container Toolkit açığının eksik yamalandığını ortaya koydu. CVE-2024-0132 olarak izlenen bu kritik açık (CVSS skoru: 9.0), konteyner kaçışı yoluyla host sistemine yetkisiz erişim sağlayabilecek bir TOCTOU (Time-of-Check to Time-of-Use) zafiyetidir.
Trend Micro tarafından yapılan yeni analiz, bu açığın tam olarak giderilmediğini ve Docker üzerinde çalışan Linux sistemlerini etkileyen bir performans sorununun da bulunduğunu ortaya koydu. Yeni keşfedilen bu açık, CVE-2025-23359 olarak kaydedildi.
Araştırmacı Abdelrahman Esmail’e göre, saldırganlar bu açıklardan faydalanarak konteyner izolasyonunu aşabilir, hassas host kaynaklarına erişebilir ve sistem üzerinde root ayrıcalıklarıyla kod çalıştırabilir. Ancak, bu tür bir saldırının başarılı olabilmesi için saldırganın önceden konteyner içinde kod çalıştırma yetkisine sahip olması gerekiyor.
Açığın kaynağında, mount_files fonksiyonu içinde uygunsuz kilitleme uygulamaları yer alıyor. Bu da, saldırganların izinleri yükseltip host sistem üzerinde keyfi işlemler gerçekleştirmesine olanak tanıyor.
Buna ek olarak, bind-propagation özelliği kullanılarak yapılan montajlar sonrası oluşan aşırı büyük montaj tabloları, Docker’ın yeni konteyner başlatmasını engelleyecek düzeyde hizmet reddi (DoS) durumlarına yol açabiliyor. Bu sorun, özellikle SSH ile bağlantıları engelleyerek sistem performansını ciddi şekilde etkileyebiliyor.
Önerilen Güvenlik Önlemleri:
- Linux montaj tablolarının olağandışı büyümesi izlenmeli
- Docker API erişimi yalnızca yetkili kullanıcılara verilmelidir
- Erişim kontrol politikaları güçlendirilmeli
- Konteyner ve host dosya sistemi arasındaki bağlamalar periyodik olarak denetlenmelidir
CVE-2025-23359 için düzeltme, NVIDIA Container Toolkit’in 1.17.4 sürümünde yayımlanmıştır.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment