Docker ve Kubernetes’te kullanılan runC konteyner çalışma zamanında yeni keşfedilen üç güvenlik açığı, izolasyon kısıtlamalarını aşarak ana sistemlere erişim sağlanmasına olanak tanıyor. Bu güvenlik sorunları, CVE-2025-31133, CVE-2025-52565 ve CVE-2025-52881 olarak izlenmekte ve SUSE yazılım mühendisi ve Open Container Initiative (OCI) yönetim kurulu üyesi Aleksa Sarai tarafından rapor edilmiştir.
runC Nedir?
runC, konteynerlerin çalıştırılması için standart bir çalışma zamanıdır ve OCI’nin referans uygulaması olarak görev yapar. Düşük seviye işlemlerden sorumlu olan runC, konteyner süreçlerini yaratma, ad alanları, mount’lar ve cgroups ayarları gibi işlevleri gerçekleştirmektedir. Bu, Docker ve Kubernetes gibi daha yüksek seviye araçların çağrıda bulunabileceği bir temel sağlar.
Açıkların Çalışma Yöntemi
Söz konusu güvenlik açıklarından yararlanan bir saldırgan, ana konteyner ev sahipliği üzerinde kök yetkileriyle yazma erişimi elde edebilir:
- CVE-2025-31133 — runC, hassas ev sahibi dosyalarını “maskelamak” için /dev/null bind-mount’ları kullanıyor. Eğer bir saldırgan konteynerin başlangıcında /dev/null’ı bir symlink ile değiştirirse, runC bir saldırgan kontrolündeki hedefi konteynere yazmak için bind-mount yapabilir ve bu da /proc’a yazma işlemi gerçekleştirilmesine olanak tanır.
- CVE-2025-52565 — /dev/console bind mount’ı, yarış durumları/symlinkler aracılığıyla tekrar yönlendirilebilir; bu da runC’nin korumalar uygulanmadan önce beklenmeyen bir hedefin konteynere mount edilmesine neden olabilir. Bu, kritik procfs girişlerine yazılabilir erişimi açığa çıkarabilir.
- CVE-2025-52881 — runC, /proc’ye yapılan yazma işlemlerini saldırgan kontrolündeki hedeflere yönlendirebilir. Bu, bazı varyantlarda LSM yeniden etiketleme korumalarını aşabilir ve sıradan runc yazmalarını /proc/sysrq-trigger gibi tehlikeli dosyalara keyfi yazmalara dönüştürebilir.
CVE-2025-31133 ve CVE-2025-52881, tüm runC sürümlerini etkilerken, CVE-2025-52565 yalnızca runC sürüm 1.0.0-rc3 ve sonrasında etkilidir. Düzeltmeler, runC sürümlerinde mevcuttur: 1.2.8, 1.3.3, 1.4.0-rc.3 ve üstü.
Saldırı Yüzdesi ve Risk
Sysdig adlı bulut güvenliği şirketindeki araştırmacılar, bu üç açığın sömürülmesinin “özel mount yapılandırmaları ile konteynır başlatma yeteneğini gerektirdiğini” belirtiyor. Bu, bir saldırganın kötü amaçlı konteyner görüntüleri veya Dockerfile’lar aracılığıyla kazanabileceği bir durumdur.
Henüz herhangi bir açığın aktif şekilde kullanıldığına dair bir rapor bulunmamaktadır. Sysdig, bu üç güvenlik sorununu istismar etmeye yönelik girişimlerin şüpheli symlink davranışlarını izleyerek tespit edilebileceğini paylaşmıştır.
Mitigasyon Stratejileri
RunC geliştiricileri, tüm konteynerler için kullanıcı ad alanlarını etkinleştirmeyi ve ev sahibi kök kullanıcısını konteynerin ad alanına eşlememeyi içeren bazı azaltma yöntemlerini önermektedir. Bu önlem, Unix DAC izinleri nedeniyle saldırının en önemli kısımlarını engellemeye yardımcı olmalıdır.
Sysdig ayrıca, mümkünse kök kullanıcısız konteynırların kullanılmasını öneriyor. Bu durum, bir açığın istismarından kaynaklanabilecek potansiyel zararı azaltabilir.
