Kelemahan runC yang berbahaya dapat memungkinkan peretas keluar dari container Docker

Tiga kerentanan yang baru terungkap dalam runtime container runC yang digunakan di Docker dan Kubernetes dapat dieksploitasi untuk melewati batasan isolasi dan mendapatkan akses ke sistem host.

Masalah keamanan, yang dilacak sebagai CVE-2025-31133, CVE-2025-52565, dan CVE-2025-52881 (semua), dilaporkan minggu ini dan diungkapkan oleh insinyur perangkat lunak SUSE dan anggota dewan Open Container Initiative (OCI). Aleksa Sarai.

runC adalah a runtime kontainer universal dan implementasi referensi OCI untuk menjalankan container. Ia bertanggung jawab atas operasi tingkat rendah seperti membuat proses container, menyiapkan namespace, mount, dan cgroup yang dapat dipanggil oleh alat tingkat tinggi, seperti Docker dan Kubernetes.

Penyerang yang mengeksploitasi kerentanan dapat memperoleh akses tulis ke host kontainer yang mendasarinya dengan hak istimewa root:

• CVE-2025-31133 — runC menggunakan /dev/null bind-mounts untuk “menutupi” file host yang sensitif. Jika penyerang mengganti /dev/null dengan symlink selama init container, runc dapat berakhir dengan mengikat target baca-tulis yang dikendalikan penyerang ke dalam container — mengaktifkan penulisan ke /proc, dan escape container.
• CVE-2025-52565 — Bind mount /dev/console dapat dialihkan melalui race/symlinks sehingga runc memasang target yang tidak terduga ke dalam container sebelum perlindungan diterapkan. Hal itu sekali lagi dapat mengekspos akses yang dapat ditulisi ke entri procfs penting dan mengaktifkan breakout.
• CVE-2025-52881 — runC dapat diakali untuk melakukan penulisan ke /proc yang dialihkan ke target yang dikendalikan penyerang. Ini dapat melewati perlindungan pelabelan ulang LSM di beberapa varian dan mengubah penulisan runc biasa menjadi penulisan sewenang-wenang ke file berbahaya seperti /proc/sysrq-trigger.

CVE-2025-31133 dan CVE-2025-52881 memengaruhi semua versi runC, sedangkan CVE-2025-52565 memengaruhi runC versi 1.0.0-rc3 dan yang lebih baru. Perbaikan tersedia dalam versi runC 1.2.8, 1.3.3, 1.4.0-rc.3dan kemudian.

Eksploitasi dan risiko

Peneliti di perusahaan keamanan cloud Sysdig catatan bahwa mengeksploitasi tiga kerentanan “memerlukan kemampuan untuk memulai container dengan konfigurasi pemasangan khusus”, yang dapat dicapai penyerang melalui image container berbahaya atau Dockerfiles.

Saat ini, belum ada laporan mengenai kelemahan apa pun yang dieksploitasi secara aktif di alam liar.

Dalam sebuah nasihat minggu ini, Sysdig berbagi bahwa upaya untuk mengeksploitasi salah satu dari tiga masalah keamanan dapat dideteksi dengan memantau perilaku symlink yang mencurigakan.

Pengembang RunC juga membagikan tindakan mitigasi, yang mencakup mengaktifkan namespace pengguna untuk semua container tanpa memetakan pengguna root host ke dalam namespace container.

Tindakan pencegahan ini harus memblokir bagian terpenting dari serangan karena izin Unix DAC yang akan mencegah pengguna dengan namespace mengakses file yang relevan.

Sysdig juga merekomendasikan penggunaan container tanpa root, jika memungkinkan, untuk mengurangi potensi kerusakan akibat eksploitasi kerentanan.