Vulnerabilitățile runC ar putea permite eludarea din containerele Docker

Trei vulnerabilități recent dezvăluite în runtime-ul containerului runC utilizat în Docker și Kubernetes ar putea fi exploatate pentru a ocoli restricțiile de limitare și a obține acces la sistemul gazdă.

Vulnerabilitățile sunt identificate ca CVE-2025-31133, CVE-2025-52565 și CVE-2025-52881.

runC este un runtime universal pentru containere și implementarea de referință OCI pentru rularea containerelor. Este responsabil pentru operațiuni de nivel inferior, cum ar fi crearea procesului containerului, configurarea spațiilor de nume, a operațiunilor de mount și a cgroup-urilor pe care instrumentele de nivel superior, precum Docker și Kubernetes, le pot apela.

Un atacator care exploatează vulnerabilitățile ar putea obține acces de tip write la host-ul containerului de bază, cu privilegii de root:

• CVE-2025-31133 –  runC utilizează fișiere /dev/null bind-mounts pentru a masca fișierele sensibile ale host-ului. Dacă un atacator înlocuiește /dev/null cu un symlink în timpul inițializării containerului, runc poate ajunge să realizeze un bind-mounting al unei ținte controlate de atacator cu drepturi de citire-scriere în container — permițând scrierea în /proc și evadarea din container.
• CVE-2025-52565 – Accesul la /dev/console poate fi redirecționat prin intermediul races/symlinks, astfel încât runc să instaleze o destinație neașteptată în container înainte de aplicarea măsurilor de protecție. Acest lucru poate expune din nou accesul în modul scriere la înregistrări procfs critice și poate permite breakout-uri.
• CVE-2025-52881 –  runC poate fi manipulat pentru a efectua scrieri în /proc care sunt redirecționate către ținte controlate de atacator. Poate ocoli protecțiile LSM relabel în unele variante și transformă scrierile obișnuite runc în scrieri arbitrare în fișiere periculoase, cum ar fi /proc/sysrq-trigger.

CVE-2025-31133 și CVE-2025-52881 afectează toate versiunile runC, în timp ce CVE-2025-52565 afectează versiunile runC 1.0.0-rc3 și ulterioare. Remedierile sunt disponibile în versiunile runC 1.2.8, 1.3.3, 1.4.0-rc.3 și ulterioare.

În prezent, nu au fost raportate cazuri de exploatare activă a acestor vulnerabilități.

Într-un aviz emis săptămâna aceasta, Sysdig informează că încercările de exploatare a oricăreia dintre cele trei vulnerabilități de securitate pot fi detectate prin monitorizarea comportamentelor suspicioase ale symlink-urilor.

Dezvoltatorii RunC au împărtășit, de asemenea, măsuri de atenuare, care includ activarea namespace-urilor utilizatorilor pentru toate containerele fără maparea utilizatorului root gazdă în namespace-ul containerului.

Această măsură de prevenire ar trebui să blocheze cele mai importante părți ale atacului datorită permisiunilor Unix DAC, care ar împiedica utilizatorii namespace să acceseze fișierele importante.

Sysdig recomandă, de asemenea, utilizarea containerelor fără root, dacă este posibil, pentru a reduce potențialele daune generate de exploatarea unei vulnerabilități.

Sursă: https://www.bleepingcomputer.com/news/security/dangerous-runc-flaws-could-allow-hackers-to-escape-docker-containers/