Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Januscape: fallo crítico en KVM permite escape de VM al host

Januscape: fallo crítico en KVM permite escape de VM al host

por Dragora

La seguridad de los entornos de virtualización vuelve a estar bajo el foco tras el descubrimiento de Januscape, una vulnerabilidad crítica en el hipervisor Kernel-based Virtual Machine (KVM) de Linux que podría permitir a un atacante escapar desde una máquina virtual (VM) y comprometer el sistema anfitrión. Identificada como CVE-2026-53359, esta falla afecta tanto a procesadores Intel como AMD, convirtiéndose en uno de los hallazgos más relevantes del año en el ámbito de la virtualización y la computación en la nube.

El fallo fue descubierto por el investigador de seguridad Hyunwoo Kim, conocido en la comunidad como @v4bel, quien asegura que se trata del primer exploit público de invitado a anfitrión compatible con arquitecturas x86 de Intel y AMD. Aunque la prueba de concepto (PoC) publicada únicamente provoca el bloqueo del servidor anfitrión, el investigador afirma haber desarrollado un exploit adicional, no divulgado, capaz de ejecutar código arbitrario como root en el host, lo que incrementa considerablemente la gravedad del problema.

La vulnerabilidad permaneció oculta durante aproximadamente 16 años, afectando a millones de sistemas basados en Linux que utilizan KVM como plataforma de virtualización.

¿Qué es Januscape (CVE-2026-53359)?

Januscape es una vulnerabilidad de tipo use-after-free (uso después de la liberación de memoria) localizada en el subsistema de Shadow MMU (Memory Management Unit) de KVM.

Este componente es responsable de gestionar las tablas de memoria utilizadas por las máquinas virtuales cuando determinadas funciones de virtualización requieren recurrir a mecanismos de paginación heredados.

El error reside en la forma en que KVM reutiliza las llamadas páginas sombra, estructuras internas encargadas de mantener el mapa de memoria entre el sistema anfitrión y las máquinas virtuales.

Debido a una validación incompleta, el hipervisor reutiliza páginas basándose únicamente en la dirección de memoria, ignorando el tipo o rol asociado a cada estructura.

Como consecuencia, dos páginas distintas pueden compartir la misma dirección física aunque desempeñen funciones completamente diferentes, generando inconsistencias que terminan corrompiendo la memoria interna del kernel.

Cómo funciona el ataque Januscape

Para comprender el impacto de esta vulnerabilidad es necesario entender cómo KVM administra la memoria de las máquinas virtuales.

Cada vez que una VM necesita acceder a memoria, KVM mantiene un conjunto privado de tablas de páginas denominado Shadow Page Tables, utilizado para traducir las direcciones de memoria del sistema invitado.

Cuando el hipervisor necesita reutilizar una de estas páginas, busca si ya existe una estructura similar.

El problema aparece porque la lógica de reutilización únicamente compara:

  • La dirección de memoria (GFN).

Pero no verifica el rol o tipo de la página sombra.

Esta omisión provoca que KVM reutilice estructuras incompatibles, alterando sus registros internos y dejando referencias inválidas.

En la mayoría de los casos, el kernel detecta la corrupción y desencadena inmediatamente un Kernel Panic, deteniendo el sistema para evitar daños mayores.

Sin embargo, existe un escenario mucho más peligroso.

Si la memoria liberada es reutilizada antes de que el proceso de limpieza finalice, el kernel termina escribiendo datos sobre una región que ya pertenece a otra estructura.

Aunque el atacante únicamente controla la ubicación donde se realiza la escritura y no el contenido exacto, este comportamiento puede aprovecharse como punto de partida para lograr la ejecución de código arbitrario en el sistema anfitrión.

Compatible con Intel y AMD

Uno de los aspectos más preocupantes de Januscape es que no depende de un fabricante específico de procesadores.

El error afecta al código compartido por KVM para arquitecturas x86, funcionando tanto en:

  • Intel
  • AMD

La única diferencia reside en la fase final del exploit necesaria para obtener ejecución completa de código, que requiere técnicas específicas según la arquitectura utilizada.

Esto convierte a Januscape en una amenaza especialmente relevante para proveedores de servicios en la nube, centros de datos y plataformas de virtualización híbrida.

Una vulnerabilidad presente desde hace 16 años

El investigador confirmó que el código vulnerable fue introducido en agosto de 2010, mediante el commit:

2032a93d66fa

La falla permaneció sin detectarse durante más de una década y media hasta que finalmente fue corregida mediante el commit:

81ccda30b4e8

La solución fue integrada en la rama principal del kernel Linux el 19 de junio de 2026.

¿Quiénes están en riesgo?

No todos los sistemas que utilizan KVM son vulnerables en las mismas condiciones.

Para explotar Januscape deben cumplirse varios requisitos.

El atacante necesita acceso root dentro de la máquina virtual

En muchos entornos cloud esto resulta completamente normal, ya que los clientes administran sus propias instancias.

La virtualización anidada debe estar habilitada

El ataque requiere que el host permita ejecutar virtualización dentro de máquinas virtuales (Nested Virtualization).

Cuando esta función está activa, KVM vuelve a utilizar el antiguo sistema Shadow MMU, donde reside la vulnerabilidad.

No depende de QEMU

El fallo existe exclusivamente dentro del kernel Linux.

No requiere errores en:

  • QEMU.
  • Libvirt.
  • Otros gestores de máquinas virtuales.

Esto significa que incluso instalaciones correctamente configuradas desde el espacio de usuario continúan siendo vulnerables si utilizan el componente afectado.

Impacto sobre infraestructuras en la nube

El principal riesgo aparece en plataformas de virtualización multiinquilino.

Un atacante que alquile una única máquina virtual podría:

  • Provocar el bloqueo completo del servidor físico.
  • Interrumpir el funcionamiento de todas las máquinas virtuales alojadas.
  • Obtener acceso root al sistema anfitrión (según el exploit privado del investigador).
  • Comprometer otras instancias ejecutadas sobre el mismo servidor.

En entornos empresariales y proveedores cloud, este tipo de vulnerabilidades representa uno de los escenarios de mayor impacto debido a la posibilidad de escapar del aislamiento entre clientes.

También podría utilizarse para escaladas locales de privilegios

Hyunwoo Kim señaló además otro posible escenario de explotación.

En determinadas distribuciones Linux, como algunas configuraciones de Red Hat Enterprise Linux (RHEL), el dispositivo:

1
/dev/kvm

puede ser accesible mediante permisos 0666, es decir, con permisos de escritura para cualquier usuario.

En estos casos, Januscape también podría utilizarse como una vulnerabilidad de escalada local de privilegios, permitiendo obtener acceso root sin necesidad de comprometer una máquina virtual.

Januscape continúa una serie de importantes hallazgos

El descubrimiento de Januscape supone la tercera gran investigación publicada por Hyunwoo Kim en apenas dos meses.

Entre sus investigaciones recientes destacan:

Dirty Frag

Identificada mediante:

  • CVE-2026-43284
  • CVE-2026-43500

Permitía obtener privilegios root aprovechando vulnerabilidades relacionadas con la escritura en caché de páginas del kernel.

ITScape

Registrada como:

  • CVE-2026-46316

Fue el primer exploit público capaz de escapar desde una máquina virtual hacia el host en KVM/ARM64, aprovechando una condición de carrera en el controlador virtual de interrupciones.

Con Januscape, el investigador amplía estos ataques a plataformas x86, cubriendo tanto Intel como AMD.

Google refuerza la investigación sobre KVM

Google creó en 2024 el programa kvmCTF, un programa especializado de recompensas por vulnerabilidades centrado exclusivamente en KVM.

La iniciativa ofrece recompensas de hasta 250.000 dólares por demostrar ataques completos de invitado a anfitrión.

La importancia de este programa radica en que KVM constituye uno de los pilares tecnológicos sobre los que funcionan:

  • Google Cloud.
  • Android Emulator.
  • Numerosas plataformas de virtualización empresariales.

Versiones corregidas del kernel Linux

El parche desarrollado por Paolo Bonzini, mantenedor de KVM, introduce una sencilla modificación que obliga a verificar también el rol de la página sombra, además de su dirección de memoria.

Las versiones corregidas incluyen:

  • Linux 7.1.3
  • Linux 6.18.38
  • Linux 6.12.95
  • Linux 6.6.144
  • Linux 6.1.177
  • Linux 5.15.211
  • Linux 5.10.260

Los administradores también deben comprobar si su distribución ha aplicado backports, ya que muchas distribuciones mantienen numeraciones distintas respecto al kernel principal.

Estado de las distribuciones Linux

Tras la publicación del parche, varios proveedores comenzaron a distribuir actualizaciones:

  • Debian publicó la corrección para las ramas testing (Trixie) y unstable (Sid), mientras que Bookworm y Bullseye permanecían pendientes al momento del anuncio.
  • SUSE clasificó la vulnerabilidad como de alta importancia y preparaba actualizaciones para SUSE Linux Enterprise y openSUSE Leap.
  • AlmaLinux, Rocky Linux y Oracle Linux incorporarán la corrección conforme publiquen las actualizaciones derivadas de Red Hat.
  • Red Hat y Ubuntu mantienen información actualizada sobre el estado de los parches en sus respectivos rastreadores de seguridad.

Cómo mitigar el riesgo si no puedes actualizar inmediatamente

Si no es posible instalar el parche de inmediato, los expertos recomiendan reducir la superficie de ataque mediante varias medidas:

  • Deshabilitar la virtualización anidada:
    • 1
      kvm_intel.nested=0
    • 1
      kvm_amd.nested=0
  • Evitar alojar máquinas virtuales no confiables en servidores vulnerables.
  • Supervisar el acceso a
    1
    /dev/kvm

    .

  • Priorizar la actualización de hosts utilizados en entornos multiinquilino.
  • Revisar los registros de cambios (changelog) de la distribución para confirmar la inclusión del parche.

En fin…

La vulnerabilidad Januscape (CVE-2026-53359) representa uno de los fallos más graves descubiertos recientemente en el ecosistema de virtualización de Linux. Su capacidad para permitir ataques de invitado a anfitrión en plataformas Intel y AMD, junto con la posibilidad de derivar en ejecución de código como root en el sistema anfitrión, la convierten en una amenaza crítica para proveedores cloud, centros de datos y organizaciones que dependen de KVM para ejecutar cargas de trabajo virtualizadas.

Aunque ya existen parches oficiales para las principales ramas del kernel Linux, los administradores deben actuar con rapidez verificando que sus distribuciones han incorporado la corrección correspondiente. En caso de no poder actualizar de inmediato, deshabilitar la virtualización anidada y limitar la exposición de hosts que ejecutan máquinas virtuales no confiables constituye la mejor medida temporal para reducir el riesgo de explotación.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!