Januscape: zraniteľnosť Linuxového hypervízora KVM umožňuje uniknúť na hostiteľa
Hypervízor KVM pre Linux obsahuje zraniteľnosť, ktorá útočníkom s prístupom ku vitruálnemu stroju a s oprávneniami používateľa root umožňuje spôsobiť kernel panic na hostiteľovi (DoS), a v istých prípadoch tiež na hostiteľovi vykonávať kód s oprávneniami root. Zraniteľné sú najmä multi-tenantné cloudové systémy s vnorenou virtualizáciou.
Zraniteľné systémy:
- Distribúcie Linux jadrom s oficiálnym poradovým číslom v službe git od 2032a93d66fa (august 2010) až po 81ccda30b4e8 (jún 2026)
Pozn.: zraniteľnosť je zneužiteľná na zariadeniach s architektúrou x86, na ktorých beží KVM, podporujú vnorenú virtualizáciu a prostredie multi-tenant. Jedná sa napríklad o cloudové prostredia.
Opis činnosti:
CVE-2026-53359
Bezpečnostní výskumníci odhalili zraniteľnosť v emulácii shadow MMU hypervízora Linux KVM, ktorá bola v kóde prítomná približne 16 rokov. Zraniteľnosť, ktorá dostala názov Januscape, súvisí s možnosťou opätovného použitia dealokovaného miesta v pamäti. Keď KVM pristupuje ku stránkovým tabuľkám v pamäti, kontroluje zhodu adries, no ignoruje druh sledovacej stránky (tracking page). Môže tak pristúpiť k nesprávnemu druhu, čo povedie ku pádu hostiteľského systému, alebo k sledovacej stránke určenej na uvoľnenie. Vtedy môže útočník kontrolovať, kam čistiaci proces urobí zápis.
CVE-2026-53359 umožňuje útočníkovi s oprávneniami root vo virtuálnom stroji pri zapnutej vnorenej virtualizácii spôsobiť pád hostiteľského systému (kernel panic) alebo potenciálne získať možnosť vykonávať kód na hostiteľovi s oprávneniami používateľa root. Útočník tak ohrozí aj ostatné virtuálne stroje v multi-tenantnom prostredí. Zraniteľnosť ovplyvňuje systémy s procesormi architektúry x86 od Intel aj AMD.
Na niektorých distribúciách môže neprivilegovaný útočník zneužiť zraniteľnosť na získanie oprávnení používateľa root.
Možné škody:
- Vzdialené vykonávanie kódu
- Nedostupnosť služby (DoS)
- Eskalácia oprávnení
Odporúčania:
Bezodkladná aktualizácia jadra Linux aspoň na verziu 81ccda30b4e8, resp. inštalácia verzie Vašej distribúcie s opraveným jadrom. Nedá sa určiť presná verzia jadra na ktorú je treba aktualizovať systém, pretože každá distrubúcia GNU\Linux používa iné jadro. Odporúčame preto sledovať oficiálnu stránku danej distribúcie pre bližšie informácie.
Ak aktualizácia nie je možná, mitigovať zraniteľnosť možno zakázaním vnorenej virtualizácie (kvm_intel.nested=0 alebo kvm_amd.nested=0).
Odkazy: