Se han descubierto tres vulnerabilidades recientes en el entorno de ejecución de contenedores runC, utilizado por Docker y Kubernetes. Estas vulnerabilidades podrían ser explotadas para eludir las restricciones de aislamiento y obtener acceso al sistema anfitrión.
runC es un entorno de ejecución de contenedores universal y la implementación de referencia de la OCI. Se encarga de tareas de bajo nivel, incluyendo la creación de procesos de contenedor y la gestión de espacios de nombres, montajes y cgroups, accesibles por herramientas como Docker y Kubernetes.
Un atacante que aproveche estas vulnerabilidades podría obtener acceso de escritura al host del contenedor con privilegios administrativos:
- CVE-2025-31133: runC utiliza montajes de enlace en /dev/null para ocultar archivos sensibles del host. Si un atacante sustituye /dev/null por un enlace simbólico en la inicialización del contenedor, runC podría montar un objetivo controlado por el atacante, permitiendo escrituras en /proc y escapar del contenedor.
- CVE-2025-52565: El enlace de montaje en /dev/console puede ser redirigido mediante condiciones de carrera o enlaces simbólicos, permitiendo que runC monte un objetivo inesperado antes de aplicar las protecciones, lo que podría exponer accesos de escritura a entradas críticas de procfs.
- CVE-2025-52881: runC puede ser manipulado para realizar escrituras en /proc que se dirigen a objetivos controlados por el atacante. Esto podría eludir las protecciones de reetiquetado de LSM y transformar las escrituras normales de runC en escrituras potencialmente dañinas a archivos como /proc/sysrq-trigger.
Las vulnerabilidades CVE-2025-31133 y CVE-2025-52881 impactan todas las versiones de runC, mientras que la CVE-2025-52565 afecta a las versiones 1.0.0-rc3 y posteriores. Las correcciones están disponibles en las versiones 1.2.8, 1.3.3, 1.4.0-rc.3 y posteriores de runC.
Explotabilidad y riesgo
Investigadores de Sysdig alertan que «explotar estas tres vulnerabilidades requiere que el atacante inicie contenedores con configuraciones de montaje personalizadas», lo cual puede hacerse a través de imágenes de contenedor o Dockerfiles maliciosos.
Hasta el momento, no se han reportado casos de explotación activa de estas vulnerabilidades.
En un aviso reciente, Sysdig indica que los intentos de explotación pueden ser detectados mediante el monitoreo de comportamientos sospechosos en enlaces simbólicos.
Los desarrolladores de runC también han recomendado medidas de mitigación, como activar espacios de nombres de usuario en todos los contenedores sin mapear el usuario root del host al espacio de nombres del contenedor, lo cual debería bloquear las principales etapas del ataque debido a los permisos DAC de Unix.
Sysdig sugiere también el uso de contenedores sin privilegios de root siempre que sea posible, para minimizar el daño potencial en caso de explotación de una vulnerabilidad.
Fuente: Sysdig
Con Información de blog.segu-info.com.ar