top of page

Novas vulnerabilidades no runC permitem escape de contêiner e ameaçam ambientes Docker/Kubernetes


Profissionais de Cybersecurity e DevSecOps: Nesta semana foram reveladas três novas

vulnerabilidades de alta severidade no runC, o componente fundamental de runtime usado pela

maioria das plataformas de contêiner. Essas falhas afetam diretamente sistemas amplamente adotados como Docker, containerd e Kubernetes (incluindo serviços gerenciados de Kubernetes nos grandes provedores de nuvem) . Combinadas, as vulnerabilidades permitem um escape de contêiner ou seja, um agente malicioso poderia quebrar o isolamento do contêiner e obter acesso direto ao sistema host . Isso representa um risco significativo de segurança para infraestruturas em nuvem e ambientes conteinerizados.


O que é o runC e por que isso importa?

O runC é um runtime de contêiner de baixo nível que interage diretamente com recursos do kernel Linux (namespaces, cgroups, etc.) para criar e executar contêineres. Ele é a implementação de referência do padrão OCI (Open Container Initiative) e é utilizado “por baixo dos panos” por

ferramentas de contêiner de nível mais alto como Docker e containerd . Por operar tão próximo do kernel, vulnerabilidades no runC podem se traduzir em graves riscos de segurança, incluindo escapes de contêiner e comprometimento do sistema host . Em resumo, se o runC presente em

praticamente todos os ambientes Docker/Kubernetes tiver falhas exploráveis, a segurança de todo o ambiente de contêiner fica em xeque.


Detalhes das vulnerabilidades

Pesquisadores de segurança divulgaram detalhes de três vulnerabilidades específicas no runC, todas classificadas como de alta severidade. De forma geral, essas falhas envolvem o abuso de mounts especiais do Linux dentro de contêineres, explorando symlinks e race conditions no sistema de arquivos, permitindo, assim, escritas arbitrárias no sistema host. As vulnerabilidades identificadas são:

  • CVE-2025-31133: Explora o uso do /dev/null durante a inicialização do contêiner. O runC “mascara” arquivos sensíveis do host bind-montando /dev/null sobre eles, mas um invasor pode substituir o /dev/null por um symlink antes do processo iniciar. Com isso, o runC acaba montando um destino controlado pelo atacante com permissão de escrita dentro do contêiner, permitindo gravar em /proc e possivelmente viabilizando um escape do contêiner .

  • CVE-2025-52565: Explora o mount de /dev/console . Através de condições de corrida e links simbólicos, um invasor pode fazer o runC montar um alvo inesperado dentro do contêiner antes das proteções de segurança estarem completamente aplicadas. Isso concede acesso de escrita a entradas críticas do procfs (sistema de arquivos do /proc ), o que pode levar a um breakout do contêiner .


  • CVE-2025-52881: Permite redirecionar gravações destinadas ao /proc do contêiner para locais arbitrários controlados pelo atacante no host. Essencialmente, o invasor consegue realizar escritas em arquivos sensíveis do host (e.g., */proc/sysrq-trigger* ) ao enganar o runC, chegando a burlar proteções de segurança do kernel (LSM) em certas configurações .


Como ocorre o ataque? Para explorar essas falhas, o agente malicioso primeiro precisa da capacidade de iniciar contêineres com configurações de montagem customizadas algo possível, por exemplo, ao induzir a execução de uma imagem Docker maliciosa ou um Dockerfile contendo diretivas perigosas. Uma vez com esse ponto de partida, a combinação das três vulnerabilidades acima permite enganar o runC a escrever no filesystem /proc do host (em vez de dentro do contêiner). Na prática, o atacante obtém execução de código no host, podendo causar uma interrupção total do cluster (derrubar serviços) e até manter persistência no sistema além do ciclo de vida do contêiner original.


Impacto e riscos

Um escape de contêiner bem-sucedido significa que o isolamento provido pela conteinerização é

rompido. O invasor passa a ter acesso ao host subjacente, podendo controlar o sistema operacional do nó onde o contêiner estava rodando. As consequências diretas incluem: acesso a outros contêineres no mesmo host, roubo de dados sensíveis, instalação de malware ou backdoors persistentes, e potencial movimentação lateral para outros nós ou serviços do ambiente. No contexto de Kubernetes, por exemplo, comprometer um nó worker pode permitir ao atacante escalar privilégios dentro do cluster (especialmente se esse nó tiver permissões amplas ou credenciais da API do cluster). Em suma, a exploração dessas falhas pode resultar em comprometimento total do ambiente: indisponibilidade de aplicações (devido a um ataque destrutivo ou ransom), perda de integridade/confidencialidade de dados e presença prolongada de ameaças sem detecção.


Esses riscos ressaltam a importância de tratar contêineres não como uma barreira de segurança

absoluta, mas sim como uma camada que pode ser quebrada. Organizações que utilizam contêineres especialmente em ambientes multi-tenant ou que rodam cargas de trabalho de terceiros devem redobrar a atenção, pois confiavam no isolamento dos contêineres para segurança. Com essas vulnerabilidades, essa confiança é abalada, exigindo respostas rápidas e reforço nas práticas de proteção.


Quem está vulnerável?

De acordo com a divulgação, todas as versões do runC lançadas até agora estão vulneráveis com pelo menos algumas dessas vulnerabilidaes. Especificamente, as CVEs 31133 e 52881 afetam todas as versões do runC, enquanto a CVE-52565 impacta versões a partir da 1.0.0-rc3 em diante. Na prática, isso abrange virtualmente qualquer sistema que use Docker, containerd ou Kubernetes padrão atualmente, já que todos eles utilizam o runC internamente.


A boa notícia é que correções (patches) já estão disponíveis: os mantenedores do runC lançaram atualizações nas versões 1.2.8, 1.3.3, 1.4.0-rc.3 e posteriores que corrigem essas vulnerabilidades .

Os fornecedores de plataformas de contêiner e nuvem (Docker, distribuições Kubernetes, serviços gerenciados de nuvem, etc.) devem incorporar esses patches rapidamente em suas distribuições. Até que isso ocorra, porém, os sistemas permanecem em risco.


ree

Painel From de News com todas as vulnerabilidades existentes no ambiente.

Mitigação e boas práticas

A principal ação imediata é atualizar o runC para uma versão corrigida o mais rápido possível.

Isso eliminará as falhas conhecidas nessas novas versões. No entanto, as vulnerabilidades destacam um problema mais amplo: se você está executando contêineres com código que não foi escrito pela sua equipe (ou seja, imagens de terceiros, de origem desconhecida), é prudente assumir que ele pode conter brechas exploráveis . Em outras palavras, a segurança de contêineres não deve se basear apenas na confiança cega no isolamento.

Algumas medidas recomendadas para reduzir os riscos ao usar contêineres “não confiáveis” incluem:

  1. Usar somente imagens confiáveis e verificadas: Evite executar imagens de contêiner de

    fontes desconhecidas ou não assinadas. Priorize imagens oficiais ou aquelas providas por

    repositórios confiáveis, e utilize assinaturas digitais quando possível para garantir integridade.

  2. Princípio do menor privilégio: Não conceda permissões excessivas aos contêineres ou aocluster. Por exemplo, evite rodar contêineres privilegiados ou montar volumes do hostdesnecessariamente. Restrinja também as credenciais e acessos disponíveis dentro doscontêineres.

  3. Monitoramento de comportamento: Acompanhe de perto o comportamento de contêineres em execução, especialmente daqueles que realizam operações sensíveis. Uso anômalo de recursos, tentativas de acesso ao host ou ao kernel e outras atividades suspeitas podem indicar uma possível exploração em curso.

  4. Isolamento de ambientes de risco: Separe cargas de trabalho de diferentes níveis de

    confiança. Se possível, execute contêineres menos confiáveis em hosts ou clusters isolados dos ambientes de produção crítica. Assim, mesmo que ocorra um escape, o impacto fica contido em um escopo menor.


Visibilidade e proteção com Orca Security e Cylense

Diante de vulnerabilidades críticas como essas, ter visibilidade em tempo real do seu ambiente e

ferramentas de proteção proativas é fundamental. É exatamente nesse ponto que a Orca Security,

em parceria com a Cylense, pode ajudar empresas no Brasil. A plataforma Orca Cloud Security oferece uma abordagem abrangente para identificar, priorizar e remediar riscos de segurança em ambientes de nuvem multi-cloud, cobrindo AWS, Azure, GCP, Oracle, Alibaba e Kubernetes incluindo detecção de vulnerabilidades em componentes essenciais como o runC . Com recursos avançados, a Orca consegue expor vulnerabilidades em workloads conteinerizados e até prevenir escapes de contêiner antes que eles ocorram, através de monitoramento contínuo e análise de configurações.

Um diferencial da solução Orca é o painel “From the News”, que destaca vulnerabilidades emergentes divulgadas recentemente. Por exemplo, assim que essas falhas do runC foram publicadas, os clientes Orca puderam ver imediatamente no dashboard se seus ambientes estavam expostos a essas CVEs e receberam orientações claras de correção . Essa visibilidade instantânea permite responder rápido muitas vezes antes mesmo de a exploração ocorrer em larga escala.


No Brasil, a Cylense atua juntamente com a Orca para entregar essa capacidade aos clientes de forma eficaz. A combinação da tecnologia da Orca com a expertise da equipe Cylense garante que as organizações locais tenham visibilidade total sobre suas vulnerabilidades de contêiner e nuvem, bem como suporte especializado para priorizar e implementar as correções necessárias. Em outras palavras, Orca e Cylense habilitam as empresas a ficarem um passo à frente dos atacantes, identificando e corrigindo falhas críticas como as do runC antes que sejam exploradas.

Em um cenário de ameaças em constante evolução, parcerias e soluções especializadas como as da Orca Security e Cylense tornam-se essenciais para proteger ambientes de contêiner e nuvem.

Mantenha seus sistemas atualizados, adote as boas práticas recomendadas e conte com ferramentas de segurança avançadas para assegurar que vulnerabilidades como essas sejam rapidamente mitigadas, mantendo sua infraestrutura resiliente e protegida. A visibilidade é a chave e com Orca + Cylense, ela trabalha a favor da segurança do seu negócio.


Referência: Orca Security Research Pod – “New runC Vulnerabilities Expose Docker and Kubernetes to Container Escape Attacks” (Nov/2025) .

© 2025 Cylense Consultoria em Informática ltda.

bottom of page