Новости

Арендовал виртуалку — получил root на хосте.

Похоже, именно с таким неприятным сюрпризом столкнулись облачные провайдеры.

Специалист по безопасности Хёнву Ким обнаружил в ядре Linux серьезную уязвимость ITЅсаре, которая целых два года оставалась незамеченной.

Ошибка ломает привычное поведение KVM на архитектуре arm64 и позволяет гостевой системе в прямом смысле слова вырваться наружу, на физический сервер.

Бреши уже присвоили идентификатор CVE-2026-46316 с критическим рейтингом CVSS 9.3

Что примечательно, проблему нашли не в QEMU, где традиционно ищут подобные баги, а в самом сердце — в реализации KVM для arm64 внутри ядра Linux.

Из-за состояния гонки (race condition) при эмуляции VGIC-ITS гостевая машина получает контроль над тем, как хост обрабатывает прерывания, и в итоге заставляет его выполнять чужие команды.

Главный кошмар ITЅсаре заключается в уровне привилегий

Если атака удалась, вредоносный код выполняется не в контексте обычного изолированного процесса виртуализации, а с правами ядра хоста. Наглядно это подтверждает демонстрация: после побега из виртуалки уязвимость создала на хосте файл /ITSсаре прямо от имени суперпользователя (с uid 0).

Ким отмечает, что это первый публично задокументированный случай успешного побега из гостевой системы на хост специально для связки KVM/arm64.

Правда, для реализации такой атаки злоумышленнику нужно находиться внутри гостевой машины и иметь там права локального root.

Впрочем, для облачных платформ это обычное дело, ведь клиенты всегда получают полный административный доступ к своим арендованным серверам.

Полноценный боевой эксплойт автор публиковать не стал

Текущее демо сделано на базе встроенных тестов KVM из исходников Linux и служит лишь для безопасного воспроизведения бага, включая эмуляцию через QEMU TCG.

Однако расслабляться не стоит: Ким открыто предупреждает, что хакер, детально изучивший архитектуру конкретного облака, вполне сможет докрутить цепочку до реального взлома.

Для этого нужно лишь подобрать правильные адреса, смещения, параметры ядра и точно поймать тайминги гонки.

Дыра присутствует в Linux начиная с коммита 820101028саа от 25 апреля 2024 года и вплоть до свежего патча 13031fb6b835 от 5 июня 2026 года, где её наконец закрыли.

Владельцам x86-процессоров переживать не о чем: проблема локализована исключительно в каталоге arch/arm64/kvm/vgic/ и затрагивает только arm64.

Администраторам мультиарендных arm64-хостов под управлением KVM сейчас самое время проверить, накатано ли в системе обновление 13031fb6b835. Ну а обычным пользователям облаков на этой архитектуре стоит как можно скорее потеребить своего провайдера и уточнить статус безопасности.

Сам первооткрыватель считает ITЅсаре родоначальником целого нового класса ошибок. Он ожидает появления похожих находок в будущем, но советует коллегам всегда проверять, так ли легко будет запустить новые варианты чисто из гостевой среды и применить их на практике.