首页
社区
课程
招聘
潜伏16年!KVM 跨架构逃逸漏洞曝光,AWS、GCP 全线告急
发表于: 1小时前 78

潜伏16年!KVM 跨架构逃逸漏洞曝光,AWS、GCP 全线告急

1小时前
78

近日,研究员Hyunwoo Kim公开了代号为 Januscape(CVE编号:CVE-2026-53359)的Linux KVM高危缺陷。这枚从2010年就写入内核代码的漏洞,整整潜伏了16年才被发掘,可实现虚拟机客户端到宿主机的逃逸,同时覆盖Intel与AMD两大x86处理器架构,直接冲击公有云的多租户安全体系。


业内首个跨双架构的内核级KVM逃逸

KVM是Linux内核原生的虚拟化技术,也是全球主流公有云的底层技术基石。与以往常见的QEMU用户态逃逸漏洞不同,Januscape漏洞存在于内核态的KVM模块中,不依赖QEMU仿真组件即可触发。这意味着,即便云厂商自研虚拟化栈、完全移除QEMU组件,也无法规避此次风险。


这也是业内首个公开披露的、同时兼容Intel与AMD双架构的KVM客户端到宿主机逃逸漏洞,覆盖范围与危害等级都远超常规虚拟化漏洞。该漏洞曾作为零日漏洞提交至Google的kvmCTF项目——该项目为完整的虚拟机逃逸漏洞提供最高25万美元的奖金,Januscape也成功通过项目验证。


漏洞根源:一行代码的校验缺失

Januscape本质是KVM影子内存管理单元(Shadow MMU)中的释放后使用(UAF)漏洞,最早可追溯到2010年8月的内核提交。


KVM会维护一套独立的影子页表,用于跟踪虚拟机的内存地址映射。当需要复用已有的内存跟踪页时,KVM仅通过内存地址匹配候选页面,却完全忽略了页表的类型校验。正是这一逻辑疏漏,导致KVM会错误管理不属于当前场景的内存页,最终造成宿主机内核内存损坏。


攻击者只需获得虚拟机内部的root权限,且宿主机开启了嵌套虚拟化功能,即可触发漏洞。目前公开的验证代码已能稳定造成宿主机内核崩溃,导致同一物理服务器上的所有租户虚拟机集体宕机;而能够实现宿主机完整代码执行的利用链已被作者验证成功,暂未对外公开。


两大风险场景全梳理

1. 公有云多租户场景(核心风险)

GCP、AWS等开启嵌套虚拟化的x86公有云平台是此次漏洞的重灾区。

云租户天然拥有自有虚拟机的root权限,一旦底层宿主机开启嵌套虚拟化,攻击者即可从租户侧发起攻击:轻则造成宿主机宕机、同物理机所有租户业务中断;重则通过完整利用链完全接管宿主机,彻底击穿云平台的多租户安全边界。


2. 本地权限提升场景

在RHEL等默认将`/dev/kvm`设备权限设为0666的Linux发行版中,本地低权限用户无需进入虚拟机环境,即可利用该漏洞直接将权限提升至root。不过研究者认为,相比云环境逃逸,本地提权的利用价值相对较低。

补充:ARM64架构的KVM主机不受Januscape漏洞影响。


修复方案与临时缓解措施

此次漏洞的修复代码仅需一行:在影子页表的复用逻辑中,同时校验虚拟机帧号与页表角色类型,确保只有两者完全匹配的页面才会被复用。


Linux官方已于2026年7月4日在多个主流稳定内核版本中推送修复,涵盖:

  • 7.1.3、6.18.38、6.12.95

  • 6.6.144、6.1.177

  • 5.15.211、5.10.260

注意:部分Linux发行版会向后移植安全补丁,建议通过内核包的变更日志确认修复状态,不要仅通过`uname -r`的版本号判断。


临时缓解方案:若暂时无法完成内核升级,可通过内核启动参数关闭嵌套虚拟化功能(kvm_intel.nested=0 或 kvm_amd.nested=0),即可阻断不可信租户的攻击路径。


研究员两月内连破三大内核漏洞

值得关注的是,Januscape已是研究员Hyunwoo Kim近两个月内披露的第三枚重量级Linux内核漏洞:

  • 2026年5月:披露Dirty Frag漏洞链,可在绝大多数主流Linux发行版上实现稳定本地提权

  • 2026年6月:披露ITScape漏洞,实现业内首个公开的ARM64架构KVM客户端到宿主机逃逸


短短两个月内连续攻破x86与ARM两大架构的KVM安全边界,也让这枚潜伏16年的“古董级”漏洞更受业内关注。


资讯来源:Hyunwoo Kim公开披露内容



[内核课程]《Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。

收藏
免费 0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回