Τρεις νέες ευπάθειες που αποκαλύφθηκαν στον χρόνο εκτέλεσης του κοντέινερ runC που χρησιμοποιείται στο Docker και το Kubernetes θα μπορούσαν να αξιοποιηθούν για να παρακάμψουν τους περιορισμούς απομόνωσης και να αποκτήσουν πρόσβαση στο κεντρικό σύστημα.
Τα ζητήματα ασφαλείας, τα οποία παρακολουθούνται ως CVE-2025-31133, CVE-2025-52565 και CVE-2025-52881 (όλα ), αναφέρθηκαν αυτήν την εβδομάδα και αποκαλύφθηκαν από τον μηχανικό λογισμικού SUSE και μέλος του συμβουλίου Open Container Initiative (OCI). Αλεξά Σαράι.
runC είναι α γενικός χρόνος λειτουργίας κοντέινερ και την υλοποίηση αναφοράς OCI για κοντέινερ που λειτουργούν. Είναι υπεύθυνο για λειτουργίες χαμηλού επιπέδου, όπως η δημιουργία της διαδικασίας κοντέινερ, η ρύθμιση χώρων ονομάτων, προσαρτημάτων και ομάδων c που μπορούν να καλούν εργαλεία υψηλότερου επιπέδου, όπως το Docker και το Kubernetes.
Ένας εισβολέας που εκμεταλλεύεται τα τρωτά σημεία θα μπορούσε να αποκτήσει πρόσβαση εγγραφής στον υποκείμενο κεντρικό υπολογιστή κοντέινερ με δικαιώματα root:
- CVE-2025-31133 — Το runC χρησιμοποιεί /dev/null bind-mounts για να «καλύψει» ευαίσθητα αρχεία κεντρικού υπολογιστή. Εάν ένας εισβολέας αντικαταστήσει το /dev/null με έναν συμβολικό σύνδεσμο κατά την έναρξη του κοντέινερ, το runc μπορεί να καταλήξει να δεσμεύει έναν στόχο ανάγνωσης-εγγραφής ελεγχόμενου από τον εισβολέα στο κοντέινερ — επιτρέποντας την εγγραφή στο /proc και τη διαφυγή κοντέινερ.
- CVE-2025-52565 — Η βάση σύνδεσης /dev/console μπορεί να ανακατευθυνθεί μέσω αγώνων/σύνδεσμων συμβόλων, έτσι ώστε το runc να τοποθετεί έναν απροσδόκητο στόχο στο κοντέινερ προτού εφαρμοστούν προστασίες. Αυτό και πάλι μπορεί να εκθέσει την πρόσβαση με δυνατότητα εγγραφής σε κρίσιμες εγγραφές procfs και να επιτρέψει τα breakouts.
- CVE-2025-52881 — Το runC μπορεί να εξαπατηθεί για να εκτελέσει εγγραφές στο /proc που ανακατευθύνονται σε στόχους που ελέγχονται από τους εισβολείς. Μπορεί να παρακάμψει τις προστασίες επανασήμανσης LSM σε ορισμένες παραλλαγές και να μετατρέψει τις συνηθισμένες εγγραφές runc σε αυθαίρετες εγγραφές σε επικίνδυνα αρχεία όπως το /proc/sysrq-trigger.
Τα CVE-2025-31133 και CVE-2025-52881 επηρεάζουν όλες τις εκδόσεις του runC, ενώ το CVE-2025-52565 επηρεάζουν τις εκδόσεις runC 1.0.0-rc3 και νεότερες. Οι διορθώσεις είναι διαθέσιμες σε εκδόσεις runC 1.2.8, 1.3.3, 1.4.0-rc.3και αργότερα.
Εκμεταλλευσιμότητα και κίνδυνος
Ερευνητές στην εταιρεία ασφάλειας cloud Sysdig σημείωμα ότι η εκμετάλλευση των τριών τρωτών σημείων «απαιτεί τη δυνατότητα εκκίνησης κοντέινερ με προσαρμοσμένες διαμορφώσεις προσάρτησης», τις οποίες μπορεί να επιτύχει ένας εισβολέας μέσω εικόνων κακόβουλου κοντέινερ ή αρχείων Docker.
Επί του παρόντος, δεν έχουν υπάρξει αναφορές για κάποιο από τα ελαττώματα που αξιοποιούνται ενεργά στη φύση.
Σε μια συμβουλή αυτή την εβδομάδα, η Sysdig κοινοποιεί ότι επιχειρεί να εκμεταλλευτεί οποιοδήποτε από τα τρία ζητήματα ασφαλείας μπορεί να εντοπιστεί παρακολουθώντας ύποπτες συμπεριφορές συμβολικής σύνδεσης.
Οι προγραμματιστές του RunC μοιράστηκαν επίσης ενέργειες μετριασμού, οι οποίες περιλαμβάνουν την ενεργοποίηση χώρων ονομάτων χρήστη για όλα τα κοντέινερ χωρίς αντιστοίχιση του κεντρικού χρήστη κεντρικού υπολογιστή στον χώρο ονομάτων του κοντέινερ.
Αυτή η προφύλαξη θα πρέπει να αποκλείει τα πιο σημαντικά μέρη της επίθεσης λόγω των δικαιωμάτων Unix DAC που θα εμπόδιζαν τους χρήστες με χώρο ονομάτων να έχουν πρόσβαση σε σχετικά αρχεία.
Η Sysdig συνιστά επίσης τη χρήση δοχείων χωρίς ρίζα, εάν είναι δυνατόν, για να μειωθεί η πιθανή ζημιά από την εκμετάλλευση μιας ευπάθειας.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
