Уязвимость Januscape в Linux позволяет выйти из виртуальной машины на устройствах Intel и AMD

2026-07-08 134 комментарии
Исследователь раскрыл уязвимость Januscape (CVE-2026-53359) в KVM/x86, существовавшую в ядре Linux около 16 лет. Она позволяет выполнить код на хосте из гостевой виртуальной машины на системах с процессорами Intel и AMD, создавая серьезную угрозу для публичных облачных платформ

В ядре Linux обнаружена 16-летняя уязвимость Januscape, которая позволяет злоумышленникам выйти за пределы виртуальной машины и выполнить произвольный код в хост-системе.

Что такое Januscape

По словам исследователя безопасности Хенву Кима (Hyunwoo Kim), обнаружившего проблему, уязвимость относится к классу guest-to-host escape – выход из гостевой системы на хост. Она отслеживается как CVE-2026-53359 и связана с ошибкой использования данных после освобождения памяти в эмуляции shadow MMU в KVM/x86. KVM/x86 – это встроенный в ядро Linux механизм виртуализации для процессорных архитектур x86 и x86_64, включая AMD64.

Januscape присутствовала в ядре Linux около 16 лет. Уязвимость исправили только в июне 2026 года. До этого её использовали как эксплойт «нулевого дня» в программе Google kvmCTF, где исследователи получают вознаграждения за найденные уязвимости в KVM.

Последствия эксплуатации

Успешная эксплуатация Januscape позволяет злоумышленникам с root-доступом внутри гостевой виртуальной машины – это стандартная конфигурация для инстансов в публичных облаках – выполнить код с правами root на хостовой системе. После этого атакующий может захватить все гостевые виртуальные машины, запущенные на этом хосте, или вызвать сбой ядра хоста. Во втором случае будут отключены все виртуальные машины других клиентов, которые работают на том же физическом сервере.

Ким описал Januscape как первый guest-to-host-эксплойт, который можно запустить как на процессорах Intel, так и на AMD. То есть проблема не ограничивается одной платформой. По словам исследователя, уязвимость представляет отдельный риск для мультиарендных публичных облаков, включая Google Cloud и Amazon Web Services.

Ким пояснил:

Используя только действия со стороны гостевой системы, атакующий может скомпрометировать хост, на котором работает его виртуальная машина.

Например, злоумышленник, арендовавший всего один инстанс в публичном облаке, может вызвать kernel panic на хосте и тем самым отключить виртуальные машины всех остальных клиентов на том же физическом сервере. Это сценарий отказа в обслуживании, DoS. Также атакующий может выполнить код с правами root на хосте, захватить сам хост и все гостевые виртуальные машины, которые на нём запущены.

Дополнительные риски и публичный эксплойт

В некоторых дистрибутивах Linux, например Red Hat Enterprise Linux, файл /dev/kvm доступен на запись всем пользователям. В таких конфигурациях даже непривилегированные злоумышленники могут использовать CVE-2026-53359, чтобы надёжно получить root-права на незащищённых устройствах.

Демо Januscape (Hyunwoo Kim)

Исследователь опубликовал технический разбор уязвимости и эксплойт «доказательства концепции», который может вызвать состояние kernel panic на хосте. При этом он отметил, что полноценный эксплойт для выхода из гостевой виртуальной машины на хост в обозримом будущем публиковаться не будет.

Рекомендации

Администраторам KVM/x86-хостов, на которых запускаются гостевые виртуальные машины в мультиарендных средах, рекомендуется проверить, что в ядро хоста внесён патч-коммит 81ccda30b4e8. Это необходимо, чтобы убедиться, что хосты защищены от возможных атак.

Связь с уязвимостью Dirty Frag

В мае 2026 года Ким также раскрыл Dirty Frag – локальную уязвимость повышения привилегий в Linux. Она объединяет две ошибки записи в page cache: xfrm-ESP, отслеживаемую как CVE-2026-43284, и RxRPC, отслеживаемую как CVE-2026-43500. Dirty Frag позволяет получить root-доступ в крупных дистрибутивах Linux, включая Ubuntu, Red Hat Enterprise Linux, CentOS Stream и Fedora.

Ким отметил, что злоумышленники, у которых нет root-доступа внутри гостевой системы на целевом устройстве, могут объединить Dirty Frag и Januscape в цепочку атак. В таком сценарии Dirty Frag сначала используется для получения root-прав в гостевой системе, а затем Januscape – для выхода на хост и полной компрометации системы.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте