威胁信号报告 | FortiGuard 实验室

漏洞描述

2025年11月初披露了runC中的高危漏洞（CVE-2025-31133、CVE-2025-52565、CVE-2025-52881）。恶意或被入侵的容器镜像可以利用runC处理掩码路径、绑定挂载和特殊文件的方式，写入宿主机的 /proc 文件系统，从而突破容器边界。这可能导致在宿主机上远程执行代码、实现持久化攻击或造成集群范围的拒绝服务。这些问题影响了几乎所有使用runC的Linux容器栈（包括Docker、containerd、CRI-O、Kubernetes以及托管服务）。

• CVE-2025-31133 - 对掩码路径的处理不当；攻击者可以将容器的 /dev/null 替换为符号链接并可能实现逃逸。
• CVE-2025-52565 - 对 /dev/console 绑定挂载的处理不当；攻击者可利用构建挂载符号链接实现逃逸。
• CVE-2025-52881 - 对早期CVE-2019-16884修复不完整，可能导致拒绝服务或逃逸。

推荐的缓解措施

修补 runc/更新节点镜像：应用供应商提供的runC更新。AWS列出了已修补的runC（适用于Amazon Linux变体的软件包版本 runc-1.3.2-2）以及更新后的AMI/Bottlerocket版本；AWS还在适用的情况下自动更新了Fargate/ECS。如果使用其他发行版，请按照供应商指南安装发行版提供的已修补runC软件包。

审计与日志记录：启用容器运行时日志、containerd/dockerd调试功能以监控可疑的挂载/绑定事件。

FortiGuard 覆盖范围

FortiGuard实验室正在持续监控此漏洞及相关漏洞利用活动。强烈建议用户遵循安全最佳实践并立即应用最新的供应商补丁。随着形势发展，FortiGuard实验室将在此威胁信号中更新额外的防护覆盖和威胁情报。

• FortiGuard端点漏洞服务提供了一种系统化、自动化的方法来修补端点上的应用程序，消除了手动流程，同时减少了攻击面。
• FortiCNAPP云团队正在积极调查对云工作负载的影响，并将在获得新信息后提供配置和修复指导。
• 事件响应支持：如果怀疑遭受入侵，FortiGuard事件响应团队可协助组织进行调查、遏制和恢复。

其他资源

• OSS安全公告
• Ubuntu安全公告
• AWS安全公告
• 关于Lacework FortiCNAPP如何防护“runc”容器逃逸漏洞的社区文章

发布日期：2025年11月6日

标签：威胁信号，漏洞，云安全

CVE ID：CVE-2025-31133，CVE-2025-52565，CVE-2025-52881