Исследователи кибербезопасности обнаружили три критические уязвимости в runc - инструменте выполнения контейнеров, который лежит в основе Docker и Kubernetes. Эти уязвимости позволяют злоумышленникам нарушать изоляцию контейнеров и получать root-доступ к хост-системам. Соответственно, это представляет серьезную угрозу для контейнеризированных сред.
Детали уязвимостей
Уязвимости, получившие идентификаторы CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881, были публично раскрыты исследователем из SUSE 5 ноября 2025 года. Все три проблемы затрагивают все известные версии runc, при этом исправления уже доступны в версиях 1.2.8, 1.3.3 и 1.4.0-rc.3+. Эксперты настоятельно рекомендуют немедленно обновить среду выполнения контейнеров.
Механизм атаки основан на эксплуатации слабостей в обработке операций монтирования и защите файлов во время создания контейнеров. Злоумышленники используют условия гонки и манипуляции с символическими ссылками для обхода ограничений безопасности. В результате они получают возможность записи в критически важные системные файлы, что и позволяет покинуть контейнер.
Основной вектор атаки, вероятнее всего, связан со злонамеренными образами контейнеров или Dockerfiles, содержащими специальные конфигурации монтирования. При этом CVE-2025-31133 нацелена на функцию maskedPaths, предназначенную для защиты чувствительных файлов хоста от доступа из контейнеров. Заменяя /dev/null символической ссылкой во время создания контейнера, атакующие могут обмануть runc, заставив его монтировать произвольные пути хоста.
Между тем CVE-2025-52565 использует недостаточную проверку при монтировании /dev/pts/$n в /dev/console. Эта уязвимость позволяет перенаправлять точки монтирования до применения защитных механизмов. Следовательно, злоумышленники получают несанкционированный доступ на запись к защищенным файлам procfs.
Кроме того, CVE-2025-52881 использует условия гонки с общими точками монтирования для перенаправления операций записи runc в файлы /proc. Данный обход позволяет манипулировать опасными системными файлами, включая /proc/sysrq-trigger. В худшем случае это может привести к аварийному завершению работы систем или успешному выходу из контейнера.
Эксперты по безопасности предупреждают, что успешная эксплуатация этих уязвимостей дает злоумышленникам полный контроль над хост-системой. Очевидно, что это нарушает фундаментальный принцип контейнеризации - изоляцию. Особую озабоченность вызывает то, что атаки могут быть запущены через публичные реестры контейнеров или скомпрометированные образы в частных репозиториях.
Организации, использующие контейнерные технологии, должны немедленно принять меры. Прежде всего, необходимо обновить runc до защищенных версий во всех средах. Дополнительно рекомендуется сканировать образы контейнеров на наличие подозрительных конфигураций монтирования. Также важно усилить мониторинг необычной активности в контейнеризированных средах.
Несмотря на то что контейнеры обеспечивают определенный уровень изоляции, они не являются панацеей от всех угроз безопасности. Следовательно, организациям необходимо применять комплексный подход к защите своих сред, включая регулярное обновление, мониторинг и строгую политику управления образами.
В настоящее время нет подтвержденных случаев активной эксплуатации этих уязвимостей в дикой природе. Однако учитывая распространенность runc в современных ИТ-инфраструктурах, исследователи ожидают появление эксплойтов в ближайшем будущем. Поэтому крайне важно установить исправления до того, как злоумышленники начнут активно использовать эти уязвимости.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-31133
- https://www.cve.org/CVERecord?id=CVE-2025-52565
- https://www.cve.org/CVERecord?id=CVE-2025-52881
- https://www.sysdig.com/blog/runc-container-escape-vulnerabilities
