Vulnerabilidades altas que afectan a Docker y Kubernetes
Recientemente un ingeniero de software de SUSE y miembro de la Iniciativa de Contenedores Abiertos (OCI), Aleksa Sarai, descubrió 3 vulnerabilidades altas que afectan a runc, una de las dependencias críticas utilizadas por Docker, Kubernetes y demás software de administración de contenedores.
CVE-2025-31133
Esta vulnerabilidad cuenta con una calificación CVSS4.0 de 7.3. Puede ser explotada debido a una insuficiente verificación de la característica maskedPaths, la cual permite reemplazar el bind-mount de /dev/null, un archivo utilizado para dirigir información hacia la nada, con un enlace simbólico hacia un archivo procfs (encargados de procesos del sistema) y dando permisos de lectura y escritura al sistema, así como acceso completo al mismo. En otra variante o método de ataque: runc ignora el archivo /dev/null faltante, exponiendo información sensible del sistema.
CVE-2025-52565
Con calificación CVSS4.0 de 8.4, esta vulnerabilidad permite reemplazar el archivo /dev/console con un enlace simbólico antes de que los métodos de protección sean siquiera aplicados, exponiendo, de nueva cuenta, los archivos procfs para que puedan ser modificados, y que un atacante escape del ambiente aislado del contenedor.
CVE-2025-52881
Esta vulnerabilidad tiene una calificación CVSS4.0 de 7.3, y permite engañar al componente runc para que escriba en /proc hacia otros archivos procfs a través de contenedores con directorios o archivos montados compartidos. Además, esta vulnerabilidad puede sobrepasar Módulos de Seguridad de Linux como AppArmor o SELinux.
Usualmente el componente runc cuenta con suficientes privilegios como para modificar archivos arbitrarios del sistema, lo que dificulta la protección mediante Módulos de Seguridad de Linux (LSM). Lo anterior se puede limitar utilizando contenedores en modo rootless (o no privilegiados).
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| runc | Versiones anteriores a 1.2.8 | Versiones anteriores a 1.4.0-rc.3 |
Recomendaciones
- Actualizar todas las instancias de runc a la última versión disponible.
- Evitar la descarga de imágenes y Dockerfiles no confiables o no verificados de antemano.
- Monitorear la creación de enlaces simbólicos sospechosos.
- Migrar el uso a contenedores rootless, en la medida de lo posible.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Sharma, S. (2025, November 10). Runtime bugs break container walls, enabling root on Docker hosts. CSO Online. Recuperado el 13 de noviembre de 2025, en: https://www.csoonline.com/article/4087323/runtime-bugs-break-container-walls-enabling-root-on-docker-hosts.html
- Toulas, B. (2025, November 9). Dangerous runC flaws could allow hackers to escape Docker containers. BleepingComputer. Recuperado el 13 de noviembre de 2025, en: https://www.bleepingcomputer.com/news/security/dangerous-runc-flaws-could-allow-hackers-to-escape-docker-containers/
