Celah Berbahaya di runC Dapat Membuka Akses Hacker ke Host Docker dan Kubernetes

Tiga kerentanan baru yang ditemukan pada runC, komponen utama yang digunakan oleh Docker dan Kubernetes, berpotensi memungkinkan peretas melarikan diri dari isolasi container dan mendapatkan akses langsung ke sistem host.

Ketiga kerentanan ini dilacak sebagai CVE-2025-31133, CVE-2025-52565, dan CVE-2025-52881, dan dilaporkan oleh Aleksa Sarai, insinyur perangkat lunak di SUSE sekaligus anggota dewan Open Container Initiative (OCI).

Apa Itu runC dan Mengapa Penting?

runC merupakan universal container runtime sekaligus referensi resmi dari OCI untuk menjalankan container. Ia bertanggung jawab atas operasi tingkat rendah seperti membuat proses container, mengatur namespace, mounts, serta cgroups yang digunakan oleh alat tingkat tinggi seperti Docker dan Kubernetes.

Karena perannya yang sangat mendasar, setiap kelemahan pada runC berpotensi menembus lapisan keamanan container yang biasanya melindungi sistem host dari aktivitas dalam container.

Rincian Tiga Kerentanan

Ketiga CVE yang diungkapkan memiliki dampak serius, terutama karena semuanya dapat dimanfaatkan untuk mendapatkan akses tulis ke sistem host dengan hak istimewa root.

• CVE-2025-31133 – runC menggunakan bind-mount /dev/null untuk menutupi file sensitif milik host. Namun, jika penyerang mengganti /dev/null dengan symlink saat inisialisasi container, runC dapat memasang target yang dikontrol penyerang secara read-write ke dalam container, memungkinkan modifikasi pada /proc dan potensi pelarian container.
• CVE-2025-52565 – Bind mount /dev/console dapat dialihkan menggunakan kondisi race atau symlink sehingga runC memasang target yang tidak diharapkan sebelum perlindungan diterapkan. Hal ini membuka akses tulis ke entri procfs kritis yang dapat digunakan untuk container breakout.
• CVE-2025-52881 – runC dapat dipancing untuk melakukan operasi tulis ke /proc yang diarahkan ke target buatan penyerang, mengabaikan perlindungan Linux Security Module (LSM). Eksploitasi ini dapat mengubah penulisan normal menjadi operasi tulis berbahaya, misalnya ke file /proc/sysrq-trigger.

Dua celah pertama, CVE-2025-31133 dan CVE-2025-52881, memengaruhi semua versi runC, sementara CVE-2025-52565 berdampak pada versi mulai dari 1.0.0-rc3 dan seterusnya. Perbaikan telah tersedia pada runC versi 1.2.8, 1.3.3, 1.4.0-rc.3, dan versi yang lebih baru.

Risiko Eksploitasi dan Mitigasi

Peneliti keamanan dari Sysdig menjelaskan bahwa untuk mengeksploitasi celah-celah ini, penyerang harus mampu menjalankan container dengan konfigurasi mount khusus — misalnya melalui Dockerfile atau image berbahaya.

Meski hingga kini belum ada laporan eksploitasi aktif di dunia nyata, Sysdig menegaskan bahwa upaya eksploitasi dapat dideteksi melalui pemantauan aktivitas symlink yang mencurigakan.

Tim pengembang runC juga telah memberikan panduan mitigasi, termasuk mengaktifkan user namespace untuk semua container tanpa memetakan pengguna root host ke dalam namespace container. Langkah ini efektif mencegah akses ke file sensitif karena adanya batasan izin (Unix DAC).

Selain itu, Sysdig menyarankan penggunaan rootless container bila memungkinkan, untuk meminimalkan dampak jika kerentanan berhasil dieksploitasi.