Présentation de la vulnérabilité
Une vulnérabilité Linux permettant aux machines virtuelles invitées non fiables d’obtenir un accès root aux machines hôtes a été découverte. Cette faille de sécurité, référencée sous le numéro CVE-2026-53359, réside dans KVM, un logiciel de virtualisation inclus dans le noyau de nombreuses distributions Linux.
Fonctionnement de la vulnérabilité
La vulnérabilité affecte KVM sur les processeurs AMD et Intel. Elle exploite des bogues présents dans la partie invité de KVM, qui consiste en des ressources comme le système d’exploitation ou les pilotes présents dans la machine virtuelle invité, plutôt que des ressources présentes sur la machine hôte. Cette faille de sécurité est une vulnérabilité d’utilisation après libération, une forme de vulnérabilité de corruption de mémoire qui injecte du code malveillant dans des régions de mémoire récemment libérées.
Implications et limites
La vulnérabilité, nommée Januscape, peut être exploitée par un attaquant pour compromettre la machine hôte qui exécute sa machine virtuelle. Par exemple, un attaquant qui a loué une seule instance sur un cloud public pourrait provoquer une panne du noyau hôte pour mettre hors service toutes les autres machines virtuelles des autres locataires sur la même machine physique, ou exécuter du code avec des privilèges root sur la machine hôte pour prendre le contrôle de la machine hôte et de toutes les machines virtuelles qui s’exécutent dessus.
Analyse scientifique
Le chercheur qui a découvert la faille, Hyunwoo Kim, a publié une preuve de concept d’exploitation qui s’exécute dans la machine virtuelle invité pour déclencher une panne sur le système d’exploitation hôte. Il a également mentionné qu’une exploitation qui permet une évasion complète de la machine virtuelle invitée existe, mais ne sera pas publiée avant « un avenir très lointain ». La correction de cette vulnérabilité est cruciale pour assurer la sécurité des plates-formes cloud et des environnements de virtualisation.
CVE-2026-53359