CVE-2025-47291

چکیده

آسیب‌پذیری در containerd نسخه‌های 2.0.1 تا 2.0.4  ناشی از یک باگ در پیاده‌سازی CRI است که باعث می شود کانتینرهای usernamespaced در سلسله مراتبcgroup  کوبرنتز قرار نگیرند. در نتیجه محدودیت‌های منابع کوبرنتز اعمال نشده و این موضوع می‌تواند منجر به انکار سرویس node کوبرنتز شود.

توضیحات

آسیب‌پذیری CVE-2025-47291 در containerd، نرم افزار متن باز برای اجرای کانتینرها، ناشی از تخصیص نادرست سلسله مراتب cgroup برای کانتینرهای در حال اجرا در podهای usernamespaced کوبرنتز است که مطابق با CWE-266  طبقه‌بندی می‌شود. این ضعف در نسخه‌های 2.0.1 تا 2.0.4 وجود دارد و در پیاده‌سازی CRI (Container Runtime Interface) containerd رخ می‌دهد.

زمانی که podهای usernamespaced در کوبرنتز اجرا می‌شوند، containerd آن‌ها را در سلسله مراتب cgroup کوبرنتز قرار نمی‌دهد، در نتیجه ممکن است محدودیت‌های منابع کوبرنتز مانند CPU، حافظه و I/O اعمال نشوند. این مسئله به مهاجمان اجازه می‌دهد منابع node را بدون محدودیت مصرف کرده و شرایط انکار سرویس (DoS) ایجاد نمایند. این آسیب‌پذیری به صورت لوکال با پیچیدگی پایین، بدون نیاز به احراز هویت یا تعامل کاربر قابل بهره‌برداری است.

پیامد اصلی آن نقض شدید در دسترس‌پذیری است، زیرا می‌تواند node کوبرنتز را از دسترس خارج کند. این ضعف به‌ویژه در محیط‌های تولیدی کوبرنتز که از usernamespaced pods استفاده می‌کنند، تأثیرگذار است.

Containerd این ضعف را در نسخه‌های 2.0.5 و 2.0.1 با اصلاح تخصیص سلسله مراتب cgroup برای usernamespaced containers پچ کرده است. کاربران باید به این نسخه‌ها یا بالاتر به‌روزرسانی کنند. راهکار موقت شامل غیرفعال کردن usernamespaced pods در کوبرنتز است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

 استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Containerdرا ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

 نتیجه گیری

این آسیب‌پذیری در containerd اگرچه با شدت متوسط ارزیابی شده است، اما به دلیل امکان ایجاد انکار سرویس (DoS) از طریق بی‌اثر شدن محدودیت‌های منابع کوبرنتز، می‌تواند تهدیدی جدی برای پایداری کلاستر محسوب شود. برای کاهش ریسک و جلوگیری از بهره‌برداری، اقدامات زیر توصیه می‌شود:

• به‌روزرسانی فوری: containerd را به نسخه 2.0.5 یا 2.1.0 به‌روزرسانی کنید تا اصلاحات مربوط به تخصیص سلسله مراتب cgroup اعمال شود.
• راهکار موقت: در صورت عدم امکان به‌روزرسانی، اجرای podهای usernamespaced را غیرفعال کنید.
• نظارت بر منابع: وضعیت مصرف منابع nodeها مانند CPU و RAM را به طور مستمر بررسی کنید تا عملکردهای غیرعادی شناسایی شود.
• اعمال محدودیت‌ها: از مکانیزم‌های کوبرنتز مانند ResourceQuota و LimitRange برای کنترل مصرف منابع استفاده کنید.
• سیاست‌های امنیتی: استفاده از سیاست‌های امنیتی podها را برای محدود کردن اجرای کانتینرهای پرریسک فعال کنید.
• آموزش مدیران سیستم: تیم‌های عملیاتی باید نسبت به ریسک این نوع ضعف‌ها و اهمیت رعایت محدودیت‌های منابع آگاهی کافی داشته باشند.

اجرای این اقدامات به کاهش احتمال اختلال در nodeهاکمک کرده و امنیت containerd را در محیط‌های کوبرنتز بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Defense Evasion (TA0005)
الگوی حمله می‌تواند به‌صورت «low-and-slow» یا پراکنده اجرا شود تا آستانه‌های هشدار منابع را دور بزند

Impact (TA0040)
پیامد اصلی این ضعف کاهش یا از دسترس خارج شدن node (Denial of Service) است؛ در عمل مصرف غیرمحدود منابع توسط کانتینرها می‌تواند باعث کندی یا قطع سرویس‌های میزبانی‌شده، از دست رفتن ظرفیت پردازشی برای سایر بارها و پیامدهای عملیاتی عمده در کلاستر تولید گردد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-47291
2. https://www.cvedetails.com/cve/CVE-2025-47291/
3. https://github.com/containerd/containerd/security/advisories/GHSA-cxfp-7pvr-95ff
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47291
5. https://vuldb.com/?id.309918
6. https://nvd.nist.gov/vuln/detail/cve-2025-47291
7. https://cwe.mitre.org/data/definitions/266.html