Docker、Kubernetes等容器平台依赖的底层运行时runc曝出三个关键漏洞,攻击者可利用这些漏洞突破容器隔离限制,获取宿主机root权限。目前尚未发现活跃攻击迹象。
这些漏洞通过竞争挂载条件和procfs写入重定向机制突破容器边界。攻击者需具备使用自定义挂载配置启动容器的能力,恶意容器镜像和Dockerfile成为主要攻击媒介。Sysdig威胁研究团队已分析全部三个漏洞,并为全球受影响组织提供详细缓解建议。
Part01
runc漏洞导致容器隔离失效
CVE-2025-31133利用runc的maskedPaths功能缺陷,该功能本应保护宿主机敏感文件不被容器访问。攻击者在容器创建阶段将/dev/null替换为符号链接,诱骗runc挂载任意宿主机路径并向/proc/sys/kernel/core_pattern等关键系统文件写入数据,最终实现容器逃逸。
CVE-2025-52565针对容器初始化阶段的/dev/console挂载操作。
由于验证机制不完善,攻击者可重定向挂载点获取受保护procfs文件的写入权限。该攻击之所以成功,是因为挂载操作发生在maskedPaths和readonlyPaths保护机制生效之前。
CVE-2025-52881使攻击者能通过共享挂载的竞争条件绕过Linux安全模块(LSM)保护。攻击者可重定向runc写入操作至伪造的procfs文件,进而操控/proc/sysrq-trigger或/proc/sys/kernel/core_pattern等危险系统文件,可能导致系统崩溃或容器逃逸。
Part02
受影响版本及修复方案
CVE-2025-31133和CVE-2025-52881影响所有已知runc版本,CVE-2025-52565影响1.0.0-rc3及后续版本。所有漏洞已在runc 1.2.8、1.3.3和1.4.0-rc.3+版本中修复。
使用容器化环境的企业应立即升级至修复版本。Sysdig威胁研究团队建议为所有容器启用用户命名空间,通过限制procfs文件系统访问阻断关键攻击路径。采用rootless容器可进一步缩小漏洞影响范围。AWS、ECS、EKS等云服务商已于2025年11月5日发布安全更新。
参考来源:
Critical runc Vulnerabilities Put Docker and Kubernetes Container Isolation at Risk
https://cybersecuritynews.com/runc-tool-vulnerability/
暂无评论内容