Une vulnérabilité inédite affectant le module de virtualisation KVM de Linux a été rendue publique ce mardi 7 juillet 2026, après la levée d'un embargo avec les mainteneurs du noyau. Baptisée Januscape et référencée CVE-2026-53359, elle repose sur un défaut de gestion mémoire de type « use-after-free » dans l'émulation du shadow MMU de KVM/x86. Ce bug, dormant depuis la version 2.6.36 du noyau (août 2010), permet à un attaquant disposant des droits root dans une machine virtuelle invitée de compromettre la machine physique hôte, à condition que la virtualisation imbriquée soit activée.

Un exploit exploitant une double condition

Pour tirer parti de cette brèche, deux éléments doivent être réunis : l'attaquant doit posséder les privilèges root au sein de la VM, et l'infrastructure hôte doit exposer la fonctionnalité de virtualisation imbriquée. Sur les systèmes où le fichier /dev/kvm est accessible en écriture par tout utilisateur (notamment sous RHEL avec des permissions 0666), un utilisateur non privilégié pourrait également exploiter la faille pour une élévation de privilèges locale.

Le chercheur en sécurité Hyunwoo Kim, connu sous le pseudo @v4bel, est à l'origine de cette découverte. Il a fourni un code de démonstration (proof-of-concept) capable de provoquer un déni de service sur l'hôte, ainsi qu'un second exploit plus abouti, non divulgué, permettant une exécution de code arbitraire en mode noyau. Selon ses déclarations, Januscape a déjà été utilisé avec succès en tant qu'arme 0-day lors du Google kvmCTF, un challenge de sécurité dédié à la virtualisation.

Des correctifs disponibles

La faille a été signalée à l'adresse [email protected]. Un correctif a été intégré à la branche principale du noyau Linux dès le 6 juillet 2026. En attendant son déploiement, les administrateurs peuvent désactiver la virtualisation imbriquée via les paramètres de démarrage : kvm_intel.nested=0 pour les processeurs Intel ou kvm_amd.nested=0 pour les processeurs AMD. Cette mesure supprime la condition nécessaire à l'exploitation sans désactiver complètement KVM.

Impact sur les clouds publics multi-locataires

La vulnérabilité touche l'ensemble des architectures KVM/x86, qu'il s'agisse de matériel Intel (VMX/EPT) ou AMD (SVM/NPT). Elle représente une menace sérieuse pour les environnements de cloud public mutualisé, comme GCP, AWS, ou Azure, où des machines virtuelles de locataires différents coexistent sur un même hôte. Si la virtualisation imbriquée y est exposée – une configuration fréquente pour certains services – un attaquant pourrait franchir la barrière d'isolation entre invités et hôte.

Détails techniques de la vulnérabilité

Le bug réside dans la fonction kvm_mmu_get_child_sp() du gestionnaire de mémoire KVM. En manipulant les tables de pages de façon spécifique, l'attaquant peut provoquer une réutilisation incorrecte de structures shadow pages, menant à une corruption mémoire. Le code PoC publié par Hyunwoo Kim exploite cette fragilité pour planter le noyau hôte. Le chercheur a également mis en ligne un dépôt contenant le module kernel nécessaire au déclenchement du déni de service, avec prise en charge des deux familles de processeurs.

Recommandations

Les opérateurs de clouds et les administrateurs systèmes sont invités à appliquer sans délai le correctif du noyau, ou, à défaut, à désactiver la virtualisation imbriquée sur les hôtes accueillant des invités non fiables. La communauté de sécurité recommande également de limiter les permissions d'accès à /dev/kvm lorsque cela est possible.