Güvenlik araştırmacıları, Docker ve Kubernetes gibi platformlara güç sağlayan ve saldırganların konteyner izolasyonunu kırmasına ve ana sistemin kontrolünü ele geçirmesine olanak tanıyan Açık Konteyner Girişimi (OCI) uyumlu çalışma zamanı olan runC’de üç ciddi güvenlik açığını ortaya çıkardı. CVE-2025-31133, CVE-2025-52565 ve CVE-2025-52881 olarak takip edilen kusurlar, runC’nin geçici bağlama bağlantılarını, sembolik bağlantıları (sembolik bağlantılar) ve belirli yazma işlemlerini yönetme şeklindeki zayıflıklardan kaynaklanmaktadır. Bunlar birlikte, tam konteyner kaçışları ve hatta ana bilgisayar seviyesinde uzlaşmalar sağlamak için kullanılabilir.
ABD Ulusal Güvenlik Açığı Veritabanına (NVD) ve runC projesinin kendi tavsiyelerine göre, bu güvenlik açıkları, runC’nin yol çözümlemesi ve bağlama işlemindeki mantık ve yarış durumu hatalarından kaynaklanmaktadır. Bu sorun, runC, aşağıdaki gibi güvenli düğümleri bağlayarak kısıtlı dosyalara erişimi maskelemeye çalıştığında ortaya çıkar: /dev/null veya /dev/konsol.
Bir saldırganın kapsayıcı başlatma sırasında bir sembolik bağlantı tanıtması veya bir yarış koşulunu tetiklemesi durumunda, çalışma zamanı yanlışlıkla saldırganın belirlediği bir hedef yolu bağlayarak kritik ana bilgisayar sistem dosyalarına yazma erişimi sağlayabilir. Bu yanlış yapılandırma, aşağıdaki gibi çekirdek arayüzlerini açığa çıkarabilir: /proc/sys/kernel/core_pattern veya /proc/sysrq-tetikleyicieğer değiştirilirse, ana bilgisayarı çökertmek veya konteyner ortamından tamamen kaçmak için kullanılabilir.
SUSE geliştiricisi ve OCI Teknik Kurulu üyesi Aleksa Sarai, runC’nin dosyaları maskeleme yönteminin, başlatma sırasında sembolik bağlantılarla etkileşime girmesi nedeniyle savunmasız olduğunu açıkladı. “Bir saldırgan doğru zamanda bir sembolik bağlantı yerleştirirse, runC yanlışlıkla saldırgan tarafından tanımlanan bir hedefi bağlayabilir ve kritik çekirdek arayüzlerine tehlikeli yazma erişimi oluşturabilir. /proc” diye uyardı Sarai. Öneriler, her üç güvenlik açığının da runC’nin amaçlanan kısıtlamalarını atlayarak tam konteyner kırılmalarına izin verebileceğini vurguluyor.
Tüm Güvenlik Açıklarının Ayrıntıları: CVE-2025-31133, CVE-2025-52565 ve CVE-2025-52881
CVE-2025-31133, runC’nin “maskeli yolları” nasıl uyguladığını içerir. Çalışma zamanı bağlaması bağlandığında /dev/null Saldırganın erişimi engellemek için bir dosya üzerinde değişiklik yapması /dev/null hassas bir ana bilgisayar dosyasına sembolik bağlantı ile. Bu, runC’nin bu ana bilgisayar yolunu okuma-yazma olarak bağlamasına neden olarak bir saldırganın çekirdek parametrelerini değiştirmesine veya sistem çökmelerini tetiklemesine olanak sağlayabilir. /proc/sysrq-tetikleyici. Bu güvenlik açığı, en son yamalardan önce runC’nin bilinen tüm sürümlerini etkilemektedir.
CVE-2025-52565, hedefleyen benzer bir sorundur /dev/konsol bağlar. RunC bağlanmaya çalıştığında /dev/konsol ile /dev/pts/$nyerini alan bir saldırgan /dev/pts/$n bir sembolik bağlantı ile cafarklı bir dosyayı hedeflemek için bağlama bağlantısını kullanın. Bu güvenlik açığı, 1.0.0-rc3’ten itibaren runC’nin tüm sürümlerini etkilemektedir. CVE-2025-31133 gibi, kritik procfs dosyalarına okuma-yazma bağlantıları oluşturmak için kullanılabilir ve bu da konteynerin bozulmasına neden olabilir. Kusurun CVSS puanı 7,3’tür.
Geliştiriciler, CVE-2025-52565’i ele alırken runC’nin dosya oluşturma işlevlerini nasıl kullandığına ilişkin potansiyel riskleri de belirledi. Bunlar doğrudan yararlanılabilir olmasa da önlem olarak düzeltmeler dahil edildi. Yarış koşullarını azaltmak için ek azaltımlar da uygulandı. /dev/pts/$nçoğu dağıtımda büyük ölçüde varsayımsal olsalar da.
CVE-2025-52881, önceki runC güvenlik açıklarına dayanan daha gelişmiş bir saldırı vektörünü temsil ediyor. Bir saldırganın, AppArmor ve SELinux gibi Linux Güvenlik Modülü (LSM) korumalarını atlayarak procfs içindeki yazma işlemlerini yeniden yönlendirmesine olanak tanır. Bu, aşağıdaki gibi dosyalara kötü amaçlı yazma işlemlerine olanak sağlayabilir: /proc/sysrq-tetikleyiciana bilgisayarın çökmesine neden olmak veya /proc/sys/kernel/core_patternbir konteynerin kaçışını kolaylaştırıyor.
Bu güvenlik açığı runC’nin bilinen tüm sürümlerini etkilemektedir ve CVSS puanı 7,3’tür. Araştırmacılar, CVE-2025-52881’in diğer iki kusurla eşleşerek istismarı basitleştirebildiğini, ana dosyalara rastgele yazma işlemine izin veren bir LSM bypass görevi gördüğünü belirtiyor.
Düzeltmeler, Sürümler ve Azaltma
Güvenlik açıkları runC v1.2.8, v1.3.3 ve v1.4.0-rc.3’te giderilmiştir. Yamalar yalnızca runC’nin kendisinde değil aynı zamanda destekleyen kütüphanede de kapsamlı kod değişiklikleri sağlar dosya yolu-güvenli birleştirmegüvenli yol çözümlemesini yönetir. Düzeltmeler birbirine bağlı olduğundan ve üç CVE’de çakışan sorunları kapsadığından, bakımcılar satıcılara ve kullanıcılara tek tek yamalar uygulamak yerine doğrudan bu sürümlere yükseltme yapmalarını şiddetle tavsiye ediyor.
Önerilen azaltımlar şunları içerir:
- Ana bilgisayar kök kullanıcısının kapsayıcı içinde eşlenmesinin engellenmesiyle, procfs dosyalarına yetkisiz yazma işlemleri standart Unix izinleri tarafından engellenir.
- Kapsayıcılar kısıtlı ayrıcalıklarla yapılandırılmalı ve setuid ikili dosyaları kullanılarak devre dışı bırakılmalıdır. hayırYeniAyrıcalıklar bayrak.
- SELinux belirli durumlarda maruziyetin sınırlandırılmasına yardımcı olabilir ancak CVE-2025-52881, LSM korumalarını atlayarak AppArmor veya SELinux’u tek başına yetersiz hale getirebilir.
Bu azaltımlar riski azaltırken, anında yükseltmeler en etkili savunma olmaya devam ediyor. Öneriler, çalışma zamanı yamalanmadığı takdirde CVE-2025-52881’in güçlü LSM tabanlı savunmaları bile zayıflatabileceği konusunda uyarıyor.
Çözüm
Son zamanlarda ortaya çıkan runC güvenlik açıkları ve çalışma zamanları arasındaki koordineli düzeltmeler, proaktif, istihbarat odaklı siber güvenliğe olan kritik ihtiyacı ortaya koyuyor. Docker, Kubernetes veya diğer OCI tabanlı platformları kullanan kuruluşlar, riski azaltmak için derhal yamalı sürümlere (v1.2.8, v1.3.3 veya v1.4.0-rc.3) yükseltmeli ve kapsayıcı ayrıcalıklarını dikkatle incelemelidir. Lei Wang, Li Fubang, Tõnis Tiigi ve Aleksa Sarai’nin araştırma katkıları, konteyner kaçışlarını önlemek için çalışma süreleri arası işbirliğinin önemini vurguluyor.
Bu çabaları tamamlayan Cyble’ın Blaze AI’yi de içeren Yapay Zeka Yerel Tehdit İstihbaratı Platformu, güvenlik açıklarının otonom olarak izlenmesini, tehdit tahminini ve iyileştirmeyi sağlayarak güvenlik ekiplerinin saldırıların önünde kalmasını, kritik varlıkları korumasını ve karmaşık konteynerli ortamlarda güvenlik savunmalarını sürdürmesini sağlar.
Rezervasyon yap kişiselleştirilmiş demo Cyble’ın tehditleri nasıl tespit edebildiğini ve varlıklarınızı gerçek zamanlı olarak nasıl koruyabildiğini görmek için.