【漏洞通报】NVIDIA Container Toolkit 容器逃逸漏洞

漏洞情况

近期，火山信安实验室监测发现，Container Toolkit 组件存在一个高危容器逃逸漏洞（CVE-2025-23266），攻击者可利用该漏洞突破容器隔离限制，获取宿主机的系统级权限，进而执行任意代码或窃取敏感数据。该漏洞影响范围广泛，可能波及依赖 NVIDIA GPU 加速的云原生环境、AI 训练集群及企业级容器化部署场景。

0x01漏洞利用方式

漏洞源于 NVIDIA Container Toolkit 在处理 GPU 设备挂载时未对容器配置实施严格校验，攻击者可利用这一缺陷通过构造恶意容器镜像或动态篡改运行时参数（如 --device 参数），将宿主机 /dev 目录或敏感设备节点（如 /dev/mem、/dev/kvm）非法挂载至容器内部，从而绕过容器隔离机制；进一步结合 NVIDIA 内核驱动（如 nvidia-uvm）与容器运行时交互过程中存在的竞态条件及缓冲区溢出漏洞，攻击者能够触发内核态内存越界写入，最终实现宿主系统内核代码的任意执行；此外，通过恶意修改 NVIDIA Container Runtime 配置文件（如 libnvidia-container.conf）中的关键参数（如 device.allow 或 kernel.modules.load），攻击者可强制容器以非预期的高权限模式启动，最终达成完全的容器逃逸与宿主机提权。

0x02影响范围

• NVIDIA Container Toolkit：所有版本 < 1.15.0（包括 1.14.x 补丁版本）
• NVIDIA Container Runtime（与 Toolkit 捆绑的版本）
• libnvidia-container（库版本 < 1.15.0）
• NVIDIA GPU Operator（Kubernetes 环境中的管理组件）

0x03修复方案

1. 立即升级 NVIDIA Container Toolkit 至 1.15.0 或更高版本
2. 避免使用 --privileged 标志，改用 --cap-drop=ALL --cap-add=SYS_ADMIN（仅授予必要权限）
3. 通过 --device 显式指定允许访问的 GPU 设备（如 /dev/nvidia0）
4. 启用强制访问控制（MAC）限制容器对设备的访问
5. 在 Kubernetes 中使用 NetworkPolicy 限制逃逸容器的网络访问

来源自：广州盈基信息官网