Tres vulnerabilidades recientemente reveladas en el tiempo de ejecución del contenedor runC utilizado en Docker y Kubernetes podrían explotarse para evitar las restricciones de aislamiento y obtener acceso al sistema host.
Los problemas de seguridad, identificados como CVE-2025-31133, CVE-2025-52565 y CVE-2025-52881 (todos), fueron informados esta semana y revelados por el ingeniero de software de SUSE y miembro de la junta directiva de Open Container Initiative (OCI). Aleksa Sarai.
runC es un tiempo de ejecución de contenedor universal y la implementación de referencia de OCI para ejecutar contenedores. Es responsable de operaciones de bajo nivel, como la creación del proceso contenedor, la configuración de espacios de nombres, montajes y cgroups a los que pueden llamar herramientas de nivel superior, como Docker y Kubernetes.
Un atacante que aproveche las vulnerabilidades podría obtener acceso de escritura al host del contenedor subyacente con privilegios de root:
- CVE-2025-31133 — runC usa /dev/null bind-mounts para “enmascarar” archivos host sensibles. Si un atacante reemplaza /dev/null con un enlace simbólico durante el inicio del contenedor, runc puede terminar montando un objetivo de lectura y escritura controlado por el atacante en el contenedor, lo que permite escribir en /proc y escapar del contenedor.
- CVE-2025-52565 — El montaje de enlace /dev/console se puede redirigir a través de carreras/enlaces simbólicos para que runc monte un objetivo inesperado en el contenedor antes de que se apliquen las protecciones. Esto nuevamente puede exponer el acceso de escritura a entradas de procesos críticos y permitir rupturas.
- CVE-2025-52881 — Se puede engañar a runC para que realice escrituras en /proc que se redirigen a objetivos controlados por el atacante. Puede eludir las protecciones de reetiquetado de LSM en algunas variantes y convierte las escrituras de runc ordinarias en escrituras arbitrarias en archivos peligrosos como /proc/sysrq-trigger.
CVE-2025-31133 y CVE-2025-52881 afectan a todas las versiones de runC, mientras que CVE-2025-52565 afecta a las versiones de runC 1.0.0-rc3 y posteriores. Las correcciones están disponibles en las versiones runC. 1.2.8, 1.3.3, 1.4.0-rc.3y más tarde.
Explotabilidad y riesgo
Investigadores de la empresa de seguridad en la nube Sysdig nota que explotar las tres vulnerabilidades «requiere la capacidad de iniciar contenedores con configuraciones de montaje personalizadas», lo que un atacante puede lograr a través de imágenes de contenedores maliciosos o Dockerfiles.
Actualmente, no ha habido informes de que ninguna de las fallas se esté explotando activamente en la naturaleza.
En un aviso de esta semana, Sysdig comparte que los intentos de explotar cualquiera de los tres problemas de seguridad pueden detectarse monitoreando comportamientos sospechosos de enlaces simbólicos.
Los desarrolladores de RunC también compartieron acciones de mitigación, que incluyen la activación de espacios de nombres de usuario para todos los contenedores sin asignar el usuario raíz del host al espacio de nombres del contenedor.
Esta precaución debería bloquear las partes más importantes del ataque debido a los permisos DAC de Unix que impedirían que los usuarios con espacios de nombres accedan a archivos relevantes.
Sysdig también recomienda utilizar contenedores sin raíz, si es posible, para reducir el daño potencial al explotar una vulnerabilidad.
Ya sea que esté limpiando claves antiguas o estableciendo barreras para el código generado por IA, esta guía ayuda a su equipo a construir de forma segura desde el principio.
Obtenga la hoja de trucos y elimine las conjeturas en la gestión de secretos.
