runc の深刻な3つの脆弱性が FIX:Docker/Kubernetes からのエスケープとクラウドへの影響

Critical runc Vulnerabilities Put Docker and Kubernetes Container Isolation at Risk

2025/11/10 CyberSecurityNews — Docker や Kubernetes などのコンテナ・プラットフォームを支えるランタイム runc に存在する、3つの深刻な脆弱性 CVE-2025-31133/CVE-2025-52565/CVE-2025-52881 が Sysdig により報告された。これらの脆弱性を悪用する攻撃者はコンテナ分離を回避し、ホスト・システムへのルート・アクセスを取得する可能性がある。ただし、現時点ではアクティブなエクスプロイトは検出されていない。これらの脆弱性が悪用されると、マウントの競合状態と procfs の書き込みリダイレクトを介してコンテナの境界の突破が発生する。

この攻撃の前提として、カスタム・マウント・コンフィグでコンテナを起動する能力が必要となる、悪意のコンテナ・イメージと Dockerfile が主要な攻撃ベクターとなる。

Sysdig 脅威調査チームは、3種類の脆弱性を分析し、影響を受けるユーザー組織に対して緩和策の詳細と推奨事項を提供している。

runc の脆弱性によるコンテナの分離

1つ目の脆弱性 CVE-2025-31133 は、機密性の高いホスト・ファイルをコンテナ・アクセスから保護する、runc の maskedPaths 機能の悪用を許すものだ。

コンテナ作成時に “/dev/null” をシンボリック・リンクに置き換える攻撃者は、runc を騙して任意のホスト・パスをマウントさせ、”/proc/sys/kernel/core_pattern” などの重要なシステム・ファイルへの書き込みに到達する。それにより、コンテナ・エスケープが可能になる。

2つ目の脆弱性 CVE-2025-52565 を悪用する攻撃者は、コンテナ初期化中の “/dev/console” マウント操作を標的化できる。

multiple vulnerabilities in runc
multiple vulnerabilities in runc

不十分な検証を突く攻撃者は、マウントをリダイレクトし、保護されている “procfs” ファイルへの書き込みアクセス権を取得できる。

maskedPaths および readonlyPaths 保護が正しく適用される前に、この種のマウントが完了するため、攻撃は成功する。

3つ目の脆弱性 CVE-2025-52881 は、共有マウントの競合状態を悪用する攻撃者に対して、Linux セキュリティ・モジュール保護の回避を許すものである。

runc の書き込みを偽の “procfs” ファイルへとリダイレクトする攻撃者は、”/proc/sysrq-trigger” や “/proc/sys/kernel/core_pattern” などの危険なシステム・ファイルを操作し、システム・クラッシュやコンテナ・エスケープを引き起こす可能性を得る。

CVE IDVulnerability TypeAffected VersionsFixed Versions
CVE-2025-31133Container escape via maskedPaths abuseAll known versions1.2.8, 1.3.3, 1.4.0-rc.3+
CVE-2025-52565Container escape via /dev/console mount races1.0.0-rc3 and later1.2.8, 1.3.3, 1.4.0-rc.3+
CVE-2025-52881LSM bypass and arbitrary write gadgetsAll known versions1.2.8, 1.3.3, 1.4.0-rc.3+
影響を受けるバージョンとパッチ

脆弱性 CVE-2025-31133/CVE-2025-52881 は、すべての runc バージョンに影響し、脆弱性 CVE-2025-52565 はバージョン 1.0.0-rc3 以降に影響を及ぼす。これらの3つの脆弱性は、runc バージョン 1.2.8/1.3.3/1.4.0-rc.3 以降で修正されている。

これらのコンテナ環境を使用している組織は、runc の修正済みバージョンへと、速やかに更新する必要がある。

Sysdig 脅威調査チームが推奨するのは、すべてのコンテナでユーザー名前空間を有効化することだ。それにより、”procfs” ファイル・システムへのアクセスが制限され、深刻な攻撃ベクターがブロックされる。

ルートレス・コンテナを使用すると、脆弱性の範囲がさらに制限される。なお、AWS/ECS/EKS などのクラウド・プロバイダーは、2025年11月5日にセキュリティ更新プログラムをリリースしている。

一連の脆弱性は、runc におけるマウント処理の検証不足と競合状態に起因するようです。特に、コンテナの初期化の段階での完全に保護される前に、maskedPathsprocfs などの処理が操作されてしまう点が脆弱です。その結果として攻撃者は、マウントのリダイレクトを悪用してホスト側のシステム・ファイルにアクセスする可能性を得ます。ご利用のチームは、ご注意ください。よろしければ、カテゴリ Container を、ご参照ください。