新たに発見された「Januscape」Linux脆弱性、Intel・AMD両デバイスでVMエスケープが可能に

Januscape」と名付けられた16年前からのLinuxカーネル脆弱性を悪用すると、攻撃者は仮想マシンから脱出してホスト上で任意のコードを実行できることが分かりました。

この脆弱性を発見したセキュリティ研究者Hyunwoo Kim氏によると、このゲストからホストへのエスケープ脆弱性(CVE-2026-53359として追跡)は、x86およびx86_64(AMD64)プロセッサアーキテクチャ向けに構築されたカーネルベース仮想マシンであるKVM/x86の、シャドウMMUエミュレーションにおけるuse-after-free(解放後使用)の脆弱性に起因しています。

Januscapeは2026年6月にパッチが適用されるまで、およそ16年間にわたりLinuxカーネル内に存在しており、GoogleのkvmCTF脆弱性報奨金プログラム(VRP)においてゼロデイエクスプロイトとして利用されていました。

この脆弱性の悪用に成功すると、ゲスト仮想マシン内でroot権限を持つ攻撃者(パブリッククラウドインスタンスにおけるデフォルト構成)は、ホスト上でrootとしてコードを実行できるようになり、そのホスト上で稼働する全ゲストを乗っ取ったり、ホストカーネルをクラッシュさせたりすることが可能になります(同一サーバー上にある他のすべてのテナントの仮想マシンをオフラインに追い込むことになります)。

Kim氏は、Januscapeについて単一プラットフォームに限定されず、IntelとAMDの両プロセッサアーキテクチャでトリガー可能な初のゲストからホストへのエクスプロイトであると説明しており、Google CloudやAmazon Web Servicesなどが提供するマルチテナント型のパブリッククラウド環境にとって特有のリスクをもたらすと指摘しています

Kim氏は月曜日、「ゲスト側での操作だけで、攻撃者は自分のVMが稼働するホストを侵害できます」と説明しています。「例えば、パブリッククラウド上でインスタンスを1台だけ借りている攻撃者であっても、ホストカーネルをパニックさせることで、同一の物理マシン上にある他のすべてのテナントVMをダウンさせたり(DoS)、ホスト上でroot権限のコードを実行してホストとその上の全ゲストを乗っ取ったりする(RCE)ことが可能です」

/dev/kvmが誰でも書き込み可能な状態になっているRed Hat Enterprise Linux(RHEL)などの一部のLinuxディストリビューションでは、権限を持たない攻撃者であってもCVE-2026-53359を悪用し、パッチ未適用のデバイス上で確実にroot権限を取得できてしまいます。

Image

​このセキュリティ研究者は技術解説記事と、ホストカーネルパニックを引き起こせる概念実証(PoC)エクスプロイトを公開しましたが、完全なゲストからホストへのエスケープを実現するエクスプロイトについては、当面公開しない意向を示しています。

マルチテナントのゲストを受け入れるKVM/x86ホストを運用している管理者は、ホストが攻撃に対して安全であることを確認するため、パッチのコミット81ccda30b4e8がホストカーネルに適用済みであることを確認する必要があります。

Kim氏は2026年5月にも、xfrm-ESP(CVE-2026-43284)とRxRPC(CVE-2026-43500)のページキャッシュ書き込み脆弱性を連鎖させ、Ubuntu、Red Hat Enterprise Linux、CentOS Stream、Fedoraなど主要ディストリビューション上でroot権限を取得できるLinuxのローカル権限昇格脆弱性、「Dirty Frag」を公表していました。

Kim氏は、対象デバイス上でゲストのroot権限を持たない攻撃者であっても、Dirty FragとJanuscapeの両脆弱性を連鎖させることで、完全な侵害を達成できる可能性があると指摘しています。

攻撃者に先んじて、あらゆる防御層をテストする

セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが発せられるのはそのうちの14%にすぎません。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、脅威が検知をすり抜けないよう、breach and attack simulation(侵害・攻撃シミュレーション)によってSIEMやEDRのルールをテストする方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/linux/new-januscape-linux-kernel-flaw-allows-vm-escape-on-intel-amd-devices/

ソース: bleepingcomputer.com