Tres vulnerabilidades recientemente descubiertas
en el entorno de ejecución de contenedores runC, utilizado en Docker y
Kubernetes, podrían ser explotadas para eludir las restricciones de
aislamiento y obtener acceso al sistema anfitrión.
runC es un entorno de ejecución de contenedores universal y la implementación de referencia de la OCI para la ejecución de
contenedores. Es responsable de operaciones de bajo nivel, como la creación
del proceso del contenedor, la configuración de espacios de nombres, montajes
y cgroups, a los que pueden acceder herramientas de nivel superior
como Docker y Kubernetes.
Un atacante que explote estas vulnerabilidades podría obtener acceso de
escritura al host del contenedor subyacente con privilegios de administrador:
-
CVE-2025-31133: runC utiliza montajes de enlace en /dev/null para ocultar archivos
confidenciales del host. Si un atacante reemplaza
/dev/null con un enlace simbólico durante la inicialización del
contenedor, runC puede terminar montando un objetivo controlado por el
atacante con permisos de lectura y escritura en el contenedor, lo que
permite escribir en /proc y escapar del contenedor. -
CVE-2025-52565: El montaje de enlace en /dev/console puede redirigirse mediante
condiciones de carrera o enlaces simbólicos, de modo que runC monte un
objetivo inesperado en el contenedor antes de que se apliquen las
protecciones. Esto, a su vez, puede exponer el acceso de escritura a
entradas críticas de procfs y permitir fugas. -
CVE-2025-52881: runC puede ser engañado para realizar escrituras en /proc que se
redirigen a objetivos controlados por el atacante. En algunas variantes,
puede eludir las protecciones de reetiquetado de LSM y convierte las
escrituras normales de runc en escrituras arbitrarias a archivos peligrosos
como /proc/sysrq-trigger.
Las vulnerabilidades CVE-2025-31133 y CVE-2025-52881 afectan a todas las
versiones de runC, mientras que la CVE-2025-52565 afecta a las versiones
1.0.0-rc3 y posteriores de runC.
Las correcciones están disponibles en las versiones 1.2.8, 1.3.3,
1.4.0-rc.3 y posteriores de runC.
Explotabilidad y riesgo
Investigadores de la empresa de seguridad en la nube Sysdig señalan que
«explotar las tres vulnerabilidades requiere la capacidad de iniciar
contenedores con configuraciones de montaje personalizadas», lo cual un atacante puede lograr mediante imágenes de contenedor o
Dockerfiles maliciosos.
Actualmente, no se han reportado casos de explotación activa de ninguna de
estas vulnerabilidades.
En un
aviso publicado esta semana, Sysdig indica que los intentos de explotar cualquiera de los tres problemas
de seguridad pueden detectarse mediante el monitoreo de comportamientos
sospechosos en enlaces simbólicos.
Los desarrolladores de runC también compartieron medidas de mitigación, que
incluyen la activación de espacios de nombres de usuario para todos los
contenedores sin mapear el usuario root del host al espacio de nombres
del contenedor.
Esta precaución debería bloquear las partes más importantes del ataque debido
a los permisos DAC de Unix, que impedirían que los usuarios con espacios de
nombres accedieran a los archivos relevantes.
Sysdig también recomienda usar contenedores sin privilegios de root,
siempre que sea posible, para reducir el daño potencial derivado de la
explotación de una vulnerabilidad.
Fuente:
Sysdig