Januscape – La faille KVM qui dormait depuis 16 ans dans le cloud

Depuis 16 ans, il y a une énorme faille qui fait dodo dans le coeur de tout ce qui gère la virtualisation sous Linux et personne ne l’avait remarqué, jusqu’à ce que Hyunwoo Kim, un chercheur en sécurité connu sous le pseudo @v4bel débarque. Ce dernier vient de dénicher un use-after-free dans le shadow MMU de KVM, ce bout de code que KVM partage entre les processeurs Intel et AMD. Il a baptisé sa trouvaille Januscape (CVE-2026-53359), et croyez-moi, le scénario a de quoi filer des sueurs froides à n’importe quel hébergeur…
En pratique, quand vous louez une VM dans le cloud, vous y êtes root (normal, c’est votre instance). Mais si l’hôte autorise la virtualisation imbriquée, hé bien la faille vous ouvre en grand la porte vers la machine physique. Le code de démonstration que Kim a publié se contente de faire planter l’hôte, et il garde sous le coude un second exploit, non divulgué publiquement celui-là, qui transforme le même bug en exécution de code root sur l’hôte. Et il n’a pas trouvé tout ça par hasard, puisqu’il participait au
kvmCTF
de Google, un programme qui paie jusqu’à 250 000 dollars pour une évasion complète d’une VM vers son hôte…
À ce stade, l’isolation censée séparer les locataires d’un même serveur vole en éclats, les VM de vos voisins de palier comprises.

Le code fautif traîne depuis août 2010, du temps du noyau 2.6.36 et Kim présente d’ailleurs Januscape comme la première évasion d’une VM vers son hôte qui fonctionne aussi bien sur Intel que sur AMD, à sa connaissance en tout cas.
Maintenant, avant de couper le wifi et de partir élever des chèvres dans le Larzac, deux petites nuances quand même car l’attaque réclame deux conditions réunies : être root dans la VM invitée, et que l’hôte expose la virtualisation imbriquée. Pas mal d’hébergeurs ne l’activent pas, donc c’est pas non plus une apocalypse universelle. Par contre, pour ceux qui l’activent, c’est game over.
Mais bonne nouvelle, le correctif est déjà là donc si vous administrez des serveurs KVM, mettez à jour maintenant. Et si vous ne pouvez pas patcher tout de suite, la parade consiste à désactiver la virtualisation imbriquée en attendant, avec kvm_intel.nested=0 sur de l’Intel ou kvm_amd.nested=0 sur de l’AMD.
VENOM
s’échappait déjà d’une VM en 2015 via un vieux driver de disquette, et plus récemment une
faille kernel planquée neuf ans
offrait un accès root sur une machine Linux. Ces "fantômes" dorment longtemps dans le noyau, et ils choisissent toujours le pire moment pour se réveiller. Voilà, comme
d’autres failles Linux à patcher d’urgence
, celle-ci mérite tout de suite votre attention.
Source : korben.info