Перейти к содержимому
Digital Businessby · Беларусь
IT и стартапы

Google заплатил $250 000 за уязвимость в Linux, позволяющую взломать хост из виртуальной машины

Баг в подсистеме KVM просидел незамеченным 16 лет и угрожает облачным платформам: арендатор одного инстанса мог уронить или захватить весь физический сервер.

Казакевич Алексей
5 мин
Google заплатил $250 000 за уязвимость в Linux, позволяющую взломать хост из виртуальной машины
Содержание
  1. Что такое Januscape и почему это опасно для облаков
  2. Proof-of-concept есть, полный эксплойт придержан
  3. Контекст: вторая серьёзная уязвимость Linux за ту же неделю

Исследователь безопасности Хёнву Ким обнаружил критическую уязвимость в подсистеме KVM — встроенном гипервизоре ядра Linux. Баг, получивший идентификатор CVE-2026-53359 и авторское название Januscape, позволяет коду внутри гостевой виртуальной машины скомпрометировать хост-систему без каких-либо привилегий за пределами самой VM. Google оценил находку в $250 000 в рамках своей программы bug bounty.

Уязвимость затрагивает KVM на процессорах обеих основных архитектур — AMD и Intel — и, по оценке самого исследователя, оставалась незамеченной в ядре Linux на протяжении 16 лет.

Что такое Januscape и почему это опасно для облаков

KVM (Kernel-based Virtual Machine) — это не отдельное приложение, а часть самого ядра Linux. Именно на нём строят инфраструктуру крупнейшие облачные провайдеры: гостевые VM изолируют клиентов друг от друга и от физического железа. Januscape разрушает эту изоляцию.

Технически речь идёт об уязвимости класса use-after-free — разновидности повреждения памяти, при которой вредоносный код записывается в уже освобождённые области. Проблема кроется в эмуляции shadow MMU — механизма, который транслирует адреса памяти между гостевой VM и гипервизором. Атакующий может через действия исключительно внутри гостевой системы повредить теневую страницу хост-ядра — структуру данных, участвующую в этой трансляции.

Хёнву Ким описал два практических сценария атаки:

««Злоумышленник, арендовавший всего один инстанс в публичном облаке, может вызвать kernel panic на хосте и тем самым уронить все остальные VM на том же физическом сервере (DoS) — или выполнить произвольный код с root-привилегиями на хосте и захватить его вместе со всеми гостями (RCE).»»

Иными словами, один недобросовестный арендатор облачного сервера получал потенциальную возможность либо обрушить инфраструктуру соседей, либо полностью взять под контроль физическую машину.

Proof-of-concept есть, полный эксплойт придержан

Ким уже опубликовал proof-of-concept, который запускается внутри гостевой VM и вызывает крэш хост-ОС. По его словам, существует и более полный вариант эксплойта, обеспечивающий реальный выход из контейнера VM, — однако его публикация откладывается на «очень отдалённое будущее». Это стандартная практика ответственного раскрытия: дать время на патчинг до того, как инструмент окажется в открытом доступе.

Важно понимать масштаб проблемы: KVM используется не только в крупных публичных облаках, но и в корпоративных on-premise средах, системах разработки и тестирования, а также в любом дистрибутиве Linux, где включена эта подсистема. Патч должен распространиться через обновления ядра, однако скорость его применения в production-средах традиционно отстаёт от скорости публикации.

Контекст: вторая серьёзная уязвимость Linux за ту же неделю

Januscape — не единственная высокоопасная находка в Linux на этой неделе. Параллельно была раскрыта ещё одна уязвимость высокой степени серьёзности, хотя детали по ней на момент публикации оставались ограниченными. Два серьёзных бага за несколько дней — нетипичная концентрация для ядра, которое принято считать одним из наиболее тщательно аудируемых open-source проектов.

Для белорусского IT-рынка тема актуальна по нескольким причинам. Компании-резиденты ПВТ активно используют облачную инфраструктуру — как зарубежные публичные облака на базе KVM, так и собственные приватные кластеры на базе Linux. Системные администраторы и DevOps-инженеры должны убедиться, что обновления ядра применены, а мониторинг аномальной активности внутри гостевых VM настроен.

Отдельного внимания заслуживает финансовая сторона: $250 000 за одну уязвимость — один из крупнейших единовременных выплат в рамках программ bug bounty для Linux-компонентов. Это сигнал рынку: исследования безопасности гипервизоров становятся высокооплачиваемой специализацией. Для белорусских специалистов по информационной безопасности, ориентированных на международные программы вознаграждений, это ещё один аргумент в пользу углублённого изучения виртуализации на уровне ядра.

Пока патч распространяется по дистрибутивам, минимальная мера предосторожности — ограничить возможности ненадёжных пользователей запускать произвольный код внутри гостевых VM и усилить мониторинг на уровне гипервизора.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.

Курс GOOGL · NASDAQ
ПоделитьсяVK

Свежие новости

Все новости
CVE-2026-53359: побег из VM за $250K баунти · Digital Business