Работает даже при белом списке
Image

Думаешь, тебя это не коснётся? Каждый может стать целью. Узнай, как защититься.

Арендовал виртуалку – получил root на хосте. Уязвимость в ядре Linux, которую два года никто не замечал

leer en español

4264
Хёнву Ким ITScape Linux KVM Root
Арендовал виртуалку – получил root на хосте. Уязвимость в ядре Linux, которую два года никто не замечал
Хёнву Ким ITScape Linux KVM Root

Уязвимость ITScape позволяла виртуальной машине переписывать правила на физическом сервере.

image

Специалист по безопасности Хёнву Ким показал уязвимость ITScape, которая нарушала поведение в KVM на arm64 и позволяла гостевой системе вырваться на хост.

Уязвимость получила идентификатор CVE-2026-46316 (CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 9.3 Critical). Проблема находилась не в QEMU, где обычно ищут подобные ошибки, а в ядре Linux, в реализации KVM для arm64. Из-за гонки в эмуляции vGIC-ITS гостевая система могла влиять на то, как хост обрабатывает прерывания, и добиться того, чтобы он выполнял команды.

Главная опасность ITScape – в том, какие привилегии получает атакующий. При успешной атаке код выполнялся не с правами обычного процесса виртуализации, а с привилегиями ядра хоста. В демонстрации после выхода из гостевой системы уязвимость создавала файл /ITScape на хосте от имени пользователя с uid 0.

Автор называет работу первым публично описанным случаем, когда гостевая система выходит на хост именно для KVM/arm64. Для атаки нужно действовать внутри гостевой машины и иметь права ядра в ней. В облаках такое условие часто выполняется само собой, поскольку клиент обычно получает права администратора в своей виртуальной машине.

Полностью готовый боевой код не опубликован. Доступная демонстрация построена на тестах KVM из исходного кода Linux и предназначена для того, чтобы безопасно воспроизвести ошибку, в том числе через QEMU TCG. При этом автор предупреждает, что злоумышленник, хорошо знающий устройство конкретной облачной платформы, сможет перенести цепочку атаки на реальную среду, подобрав адреса, смещения, время гонки и параметры ядра.

ITScape затрагивает версии Linux от коммита 8201d1028caa от 25 апреля 2024 года до 13031fb6b835 от 5 июня 2026 года, где проблему исправили. Уязвимость касается только KVM на arm64 и не затрагивает x86, поскольку ошибка находится в каталоге arch/arm64/kvm/vgic/.

Администраторам arm64-хостов с KVM, особенно в средах с несколькими арендаторами, нужно проверить наличие исправления 13031fb6b835 в ядре. Пользователям облачных серверов на arm64 стоит уточнить статус обновления у провайдера. Автор также считает ITScape новым классом ошибок и ожидает, что появятся похожие находки, но призывает отдельно проверять, можно ли запустить будущие варианты только из гостевой системы и пригодны ли они для реальной эксплуатации.