Três novas vulnerabilidades divulgadas recentemente no runtime de containers runC, utilizado em plataformas como Docker e Kubernetes, podem ser exploradas para contornar restrições de isolamento e obter acesso ao sistema hospedeiro.
As falhas de segurança, identificadas pelos códigos
CVE-2025-31133
,
CVE-2025-52565
e
CVE-2025-52881
, foram reportadas nesta semana pelo engenheiro de software da SUSE e membro do conselho da Open Container Initiative (OCI), Aleksa Sarai.
O runC é um runtime universal de containers e a implementação de referência da OCI para execução desses ambientes.
Ele é responsável por operações de baixo nível, como criação do processo do container, configuração de namespaces, mounts e cgroups, que ferramentas de nível superior, como Docker e Kubernetes, utilizam.
Ao explorar essas vulnerabilidades, um atacante poderia obter acesso com privilégios root ao sistema hospedeiro subjacente por meio do container:
- **
CVE-2025-31133
**: o runC utiliza bind-mounts de /dev/null para "mascarar" arquivos sensíveis do host.
Se um invasor substituir /dev/null por um symlink durante a inicialização do container, o runC pode acabar montando, com permissões de leitura e escrita, um alvo controlado pelo atacante, permitindo acesso de escrita em /proc e possibilitando a fuga do container.
- **
CVE-2025-52565
**: o bind mount de /dev/console pode ser redirecionado, por meio de condições de corrida (race conditions) ou symlinks, para que o runC monte um alvo inesperado dentro do container antes da aplicação das proteções, expondo novamente acessos de escrita em entradas críticas do procfs e permitindo a quebra do isolamento.
- **
CVE-2025-52881
**: o runC pode ser induzido a realizar escritas em /proc redirecionadas para alvos controlados pelo atacante.
Essa falha contorna algumas proteções baseadas em LSM (Linux Security Modules) e transforma escritas normais do runC em operações arbitrárias em arquivos críticos, como /proc/sysrq-trigger.
As vulnerabilidades
CVE-2025-31133
e
CVE-2025-52881
afetam todas as versões do runC, enquanto a
CVE-2025-52565
impacta versões 1.0.0-rc3 e posteriores.
As correções já estão disponíveis nas versões 1.2.8, 1.3.3, 1.4.0-rc.3 e superiores.
Pesquisadores da empresa de segurança em nuvem Sysdig destacam que a exploração dessas três falhas exige a capacidade de iniciar containers com configurações personalizadas de mount, algo que pode ser feito a partir de imagens ou Dockerfiles maliciosos.
Até o momento, não há relatos de exploração ativa dessas vulnerabilidades em ataques reais.
Em seu comunicado desta semana, a Sysdig recomenda monitorar comportamentos suspeitos relacionados a symlinks para identificar tentativas de exploração dessas falhas.
Desenvolvedores do runC também indicam medidas mitigatórias, como ativar namespaces de usuário (user namespaces) para todos os containers, sem mapear o usuário root do host dentro do namespace do container.
Essa prática bloqueia os principais vetores de ataque, pois as permissões DAC do Unix impedem que usuários namespaced acessem arquivos críticos do sistema.
Além disso, a Sysdig sugere, sempre que possível, o uso de containers rootless para minimizar os impactos caso uma vulnerabilidade seja explorada com sucesso.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...