Se você utiliza Docker ou Kubernetes, sua atenção é necessária imediatamente. Três vulnerabilidades críticas de segurança foram descobertas no runC, o componente fundamental por trás da maioria dos contêineres Linux. Trata-se de uma vulnerabilidade runC que ameaça diretamente o isolamento de contêineres — um dos pilares da segurança moderna em ambientes de nuvem.
As falhas, rastreadas como CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881, não são triviais: elas permitem que um invasor escape do contêiner e ganhe acesso root ao sistema host, comprometendo totalmente o servidor.
O runC é a implementação de referência da Open Container Initiative (OCI) e é usado por padrão em Docker, Kubernetes, containerd e outras ferramentas. Uma falha nesse componente atinge todo o ecossistema de contêineres. A seguir, entenda o que está em jogo e o que você deve fazer agora para proteger seus sistemas.
O que é o runC e por que isso é tão grave?
O runC é o motor de baixo nível responsável por criar e executar contêineres Linux, configurando namespaces e cgroups que isolam processos, redes e sistemas de arquivos.
Esse isolamento é o que garante que aplicativos rodando em contêineres permaneçam separados e seguros.
Mas uma falha de “container escape” quebra completamente essa promessa — permitindo que um processo malicioso dentro de um contêiner salte para fora e controle o servidor host.
Em outras palavras: o invasor pode executar comandos como se fosse o administrador do sistema, acessando arquivos, credenciais e infraestrutura crítica.
As três falhas de fuga do contêiner explicadas
As vulnerabilidades foram divulgadas por Aleksa Sarai, engenheiro da SUSE e membro ativo da Open Container Initiative (OCI). Elas estão entre as mais sérias descobertas nos últimos anos no ecossistema de contêineres Linux.
CVE-2025-31133 e CVE-2025-52565: O perigo dos links simbólicos
Essas duas vulnerabilidades exploram links simbólicos (symlinks) e condições de corrida durante o processo de montagem de diretórios e arquivos dentro dos contêineres.
O runC tenta proteger arquivos sensíveis do host — como os presentes em /proc, /sys e /dev — mascarando-os com montagens de /dev/null e /dev/console.
Porém, um atacante pode criar um cenário malicioso dentro do contêiner, manipulando links simbólicos para enganar o runC.
O resultado: o runC monta diretórios controlados pelo atacante sobre arquivos críticos do host. Isso permite gravações não autorizadas, substituição de arquivos do sistema e até execução arbitrária de comandos como root.
Essas falhas são especialmente perigosas em ambientes automatizados, onde imagens de contêiner são frequentemente baixadas de fontes externas ou construídas de forma não supervisionada.
CVE-2025-52881: Redirecionamento de gravações no /proc
A terceira falha, CVE-2025-52881, envolve o redirecionamento de gravações no sistema de arquivos /proc.
O /proc é um pseudo-sistema de arquivos que expõe informações sensíveis sobre o kernel e os processos em execução.
A falha permitia enganar o runC para escrever em locais arbitrários dentro do /proc, inclusive em interfaces críticas de controle, como /proc/sysrq-trigger — um arquivo especial que pode ser usado para forçar um crash, reiniciar o sistema ou executar comandos diretamente no kernel.
Na prática, essa vulnerabilidade poderia ser explorada para derrubar o host, modificar políticas de segurança (LSM) ou abrir brechas adicionais para ataques persistentes.
Quem está em risco e o que fazer agora?
Se você usa Docker, Kubernetes, Podman ou qualquer ferramenta baseada no runC, você está em risco.
Essas vulnerabilidades afetam praticamente todas as distribuições Linux e ambientes de contêiner modernos.
Versões afetadas
- CVE-2025-31133 e CVE-2025-52881 afetam todas as versões do runC até as correções mais recentes.
- CVE-2025-52565 afeta versões do runC a partir da 1.0.0-rc3.
Se você não atualizou recentemente, é altamente provável que esteja vulnerável.
Correções disponíveis: atualize imediatamente
As correções oficiais foram lançadas nas versões 1.2.8, 1.3.3, 1.4.0-rc.3 e posteriores do runC.
A maioria dos usuários receberá essas atualizações automaticamente ao atualizar seus ambientes de contêiner, como:
- Docker Engine
- Kubernetes (componentes de nó)
- containerd
- Podman
Verifique as atualizações de segurança da sua distribuição Linux (Ubuntu, Fedora, RHEL, Debian, etc.) e aplique imediatamente as versões corrigidas.
Em ambientes corporativos, a recomendação é priorizar a atualização dos nós de produção e clusters expostos à internet.
Mitigações: o que fazer se você não pode atualizar imediatamente
Se a atualização não for possível neste momento, há medidas de mitigação que reduzem significativamente o risco de exploração, conforme orientações do time do runC e da Sysdig.
Ative namespaces de usuário (user namespaces)
A mitigação mais eficaz é ativar namespaces de usuário para todos os contêineres, sem mapear o usuário root do host para o namespace interno do contêiner.
Isso garante que, mesmo que um atacante consiga escapar do contêiner, ele não terá privilégios de root no host, limitando drasticamente o impacto da vulnerabilidade.
Use contêineres “rootless”
Outra boa prática é executar contêineres sem privilégios de root (rootless containers) sempre que possível.
Esses contêineres rodam com usuários não privilegiados, impedindo que processos maliciosos dentro deles acessem ou modifiquem o sistema subjacente.
Essa abordagem não apenas mitiga a exploração dessas falhas, mas também fortalece a postura geral de segurança da sua infraestrutura.
Conclusão: não espere, proteja seus sistemas
As vulnerabilidades CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881 representam algumas das falhas mais graves já descobertas no runC e exigem ação imediata.
Elas lembram incidentes anteriores de container escape que impactaram o ecossistema Docker e Kubernetes, mostrando que a segurança na camada de execução continua sendo crítica.
A hora de agir é agora:
- Verifique a versão do seu runC.
- Atualize imediatamente para uma versão corrigida.
- Implemente namespaces de usuário e contêineres rootless como padrão.
Manter seus contêineres atualizados e configurados com boas práticas é a única forma de garantir que seu ambiente permaneça isolado, confiável e seguro.
