De Amerikaanse National Vulnerability Database (NVD) heeft drie nieuwe kwetsbaarheden in runC ontdekt. Dat is de container-runtime die als referentie-implementatie van de Open Container Initiative (OCI) wordt gebruikt door onder meer Docker en Kubernetes.
De beveiligingslekken, geregistreerd als CVE-2025-31133, CVE-2025-52565 en CVE-2025-52881, maken het mogelijk om via manipulatie van mounts en symbolische links de scheiding tussen container en hostsysteem te doorbreken.
Volgens de beschrijving op nvd.nist.gov ontstaat het risico wanneer een aanvaller invloed heeft op de manier waarop mounts binnen een container worden aangemaakt. Door gebruik te maken van symlinks of racecondities kan runC onbedoeld bestanden van het hostsysteem bind-mounten in de container, waardoor schrijfrechten ontstaan op gevoelige systeempaden. Dat kan leiden tot een volledige container-escape, waarbij een aanvaller code kan uitvoeren met rootrechten op de host.
De kwetsbaarheden zijn ontdekt door SUSE-ontwikkelaar en OCI-bestuurslid Aleksa Sarai. In zijn toelichting op GitHub beschrijft hij dat runC in bepaalde situaties vertrouwt op tijdelijke bind-mounts van bijvoorbeeld /dev/null of /dev/console om gevoelige paden te maskeren.
Wanneer een aanvaller erin slaagt om tijdens de initialisatie van de container een symbolische link te plaatsen, kan runC per ongeluk een aanvaller-gedefinieerd doel mounten. Een symbolische link (Symlink) is een bestand dat als verwijzing of snelkoppeling naar een ander bestand of map fungeert, waardoor programma’s automatisch naar dat doel worden doorgestuurd. Dit opent de mogelijkheid tot schrijfbewerkingen in het /proc-bestandssysteem of andere kritieke kernelinterfaces.
Kwetsbaarheden inmiddels verholpen
Volgens de NVD worden CVE-2025-31133 en CVE-2025-52881 als universeel beschouwd en treffen ze alle runC-versies, terwijl CVE-2025-52565 specifiek betrekking heeft op versies vanaf 1.0.0-rc3. De kwetsbaarheden zijn inmiddels verholpen in runC-versies 1.2.8, 1.3.3 en 1.4.0-rc.3 en latere releases.
BleepingComputer meldt dat de fouten in theorie kunnen worden misbruikt via gemanipuleerde Docker-images of aangepaste containerconfiguraties. Het platform citeert onderzoekers van Sysdig, die aangeven dat de aanval niet triviaal uit te voeren is, omdat de aanvaller de mogelijkheid moet hebben om containers te starten met specifieke mountopties. Wanneer die voorwaarde echter wordt vervuld, is het effect ernstig, omdat de containerisolatie volledig kan worden doorbroken.
Sysdig schrijft in zijn analyse dat de aanval kan worden herkend aan verdachte symlink-activiteiten tijdens het opstarten van containers. Het bedrijf raadt organisaties aan om logbestanden en auditdata op dergelijke patronen te monitoren. De onderzoekers benadrukken dat er tot nu toe geen aanwijzingen zijn dat de kwetsbaarheden actief worden uitgebuit in het wild, maar dat de combinatie van eenvoud in de architectuurlaag en de hoge privileges van runC de risico’s aanzienlijk maakt.
De ontwikkelaars van runC adviseren om zo snel mogelijk over te stappen op de nieuwste versie en waar mogelijk aanvullende beveiligingsmechanismen te gebruiken. Het inschakelen van user namespaces, zonder dat de rootgebruiker van de host wordt gemapt, voorkomt dat processen binnen de container directe toegang hebben tot hostresources. Ook het gebruik van rootless containers wordt genoemd als effectieve manier om de impact van een potentiële exploit te beperken.