В середине июня исследователь безопасности Хёнву Ким раскрыл критическую уязвимость в механизме виртуализации ядра Linux для платформы ARM64. Проблема, получившая обозначение CVE-2026-46316 и кодовое имя ITScape, затрагивает эмуляцию виртуального контроллера прерываний vGIC-ITS в компоненте KVM. Эксплуатация этой уязвимости позволяет атакующему, уже имеющему привилегии внутри гостевой системы, выполнить произвольный код на уровне ядра хост-машины. Это делает её прямой угрозой для многопользовательских облачных сред, работающих на серверах с процессорами ARM64.
Описание
Корень проблемы - состояние гонки в функции vgic_its_invalidate_cache(). Как сообщил исследователь, эта ошибка приводит к двойному освобождению памяти и последующему её использованию после освобождения (use-after-free). В результате злоумышленник получает возможность перезаписать критичные структуры данных ядра и внедрить собственный код. Поскольку уязвимость находится непосредственно внутри KVM, который работает на уровне ядра, а не в пользовательском пространстве эмулятора QEMU, успешная эксплуатация даёт привилегии ядра хоста. Это принципиально отличается от атак, ограниченных процессом виртуальной машины.
Уязвимость присутствует во всех версиях ядра Linux, начиная с коммита 8201d1028caa от 25 апреля 2024 года и до коммита 13031fb6b835 от 5 июня 2026 года, в котором исправление было включено в основную ветку. Последствия охватывают практически все дистрибутивы и облачные образы, собранные с ядрами этого временного отрезка. Для эксплуатации атакующему необходимо иметь привилегии суперпользователя внутри гостевой виртуальной машины. Если же гость запущен с ограниченными правами, ITScape можно объединить с другой локальной уязвимостью для повышения привилегий внутри гостя, после чего атаковать хост. В облачных средах, где клиенты арендуют изолированные виртуальные машины, такой сценарий представляет наибольшую опасность.
Специалисты подготовили средства для обнаружения попыток эксплуатации. Для этого разработаны два правила на языке YARA, который представляет собой инструмент для сигнатурного поиска вредоносного кода. Первое правило, ITScape_ExploitConstants_1, нацелено на поиск девяти фиксированных 64-битных констант, присутствующих в опубликованном подтверждении концепции (PoC). Среди них - адреса символов ядра, такие как ORDERLY_POWEROFF и NEIGH_GC_WORK_FUNC, а также строка команды /bin/touch /ITScape, которую эксплойт запускает на хосте. Тестирование на известном бинарном файле PoC показало совпадение по семи константам из девяти; две отсутствуют из-за особенностей конкретной сборки, но оставлены в правиле на случай других вариантов статической компоновки или оптимизации.
Второе правило, ITScape_KVM_PrivDrop_1, использует поведенческий подход. Оно обнаруживает характерную последовательность инструкций в скомпилированном бинарном файле: проверку прав доступа к устройству /dev/kvm через системный вызов stat, затем сброс групп с помощью setgroups(0, NULL) и установку идентификаторов пользователя и группы (uid/gid) с проверками на ошибки. Это позволяет выявить программы, которые явно манипулируют своими привилегиями перед обращением к KVM, что типично для данной атаки. Правило устойчиво к перекомпиляции за счёт маскирования отдельных байтов и нибблов в коде ARM64, при этом все семантически значимые значения остаются точными.
Владельцам ARM64-серверов с поддержкой KVM следует в первую очередь установить исправление, включённое в коммит 13031fb6b835, а также две сопутствующие заплатки, закрывающие CVE-2026-46316 полностью. Операторам многопользовательской облачной инфраструктуры, особенно публичным облачным провайдерам, необходимо оценить риски с учётом того, что для эксплуатации достаточно привилегий гостя, а результатом становится полный контроль над хостом. Поскольку ITScape представляет собой новый класс уязвимостей в коде эмуляции vgic-its, можно ожидать появления дополнительных вариантов и схожих проблем даже после установки патча, поэтому мониторинг этого участка кода необходимо продолжать.
Обнаружение ITScape ещё раз подчёркивает сложность обеспечения безопасности механизмов виртуализации нового поколения. Гостевая система с полными привилегиями не должна иметь возможность влиять на работу хоста, однако ошибки в эмуляции сложного оборудования способны свести на нет эту изоляцию. На данный момент приоритетом является скорейшее обновление ядер на всех ARM64-хостах, особенно в публичных облаках. Только своевременное применение патча может предотвратить потенциальные атаки, использующие описанную уязвимость.
Индикаторы компрометации
SHA256
- e0ab84da2d2783c8cae3624e8ce58b99ad79219753b249671ff7f743abdacc35
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 | rule ITScape_ExploitConstants_1 { meta: author = "Malware Utkonos" date = "2026-05-11" description = "Detects constants used in ITScape exploit PoC." reference = "https://github.com/V4bel/ITScape/blob/main/poc.c" poc = "e0ab84da2d2783c8cae3624e8ce58b99ad79219753b249671ff7f743abdacc35" strings: $orderly_poweroff = { 2cf90d800080ffff } $poweroff_cmd = { c803d0820080ffff } $neigh_gc_work_func = { 502d1d830080ffff } $pmu_fn_linked = { b80e09800080ffff } $gadget_rt = { dcc6d7800080ffff } // canary magic ("LEAKLEAD" = 0x4c45414b4c454144 byte-swapped) $leak_sentinel = { 4441454c4b41454c } // payload: "/bin/touch /ITScape" packed as three u64s $sc_write_bin_tou = { 2f62696e2f746f75 } // /bin/tou $sc_write_ch_ITSc = { 6368202f49545363 } // ch /ITSc $sc_write_ape = { 6170650000000000 } // ape\0 condition: 5 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | rule ITScape_KVM_PrivDrop_1 { meta: author = "Malware Utkonos" date = "2026-05-11" description = "Detects /dev/kvm group rw check and drop to setgroups/setgid/setuid(1000) used in ITScape PoC." reference = "https://github.com/V4bel/ITScape/blob/main/poc.c" poc = "e0ab84da2d2783c8cae3624e8ce58b99ad79219753b249671ff7f743abdacc35" strings: $kvm = "/dev/kvm" $op = { e0??4?b9 00041f12 1f180071 ?1[2]54 010080d2 000080d2 [3]9? 007d8052 [3]9? ?0[2]35 007d8052 [3]9? ?0[2]35 } // 004025cc e0c340b9 ldr w0, [sp, #0xc0 {guest_memfd.reserved[0].d}] // load stat st_mode; offset floats // 004025d0 00041f12 and w0, w0, #0x6 // mask S_IRGRP|S_IWGRP (0x4|0x2) // 004025d4 1f180071 cmp w0, #0x6 // both group rw bits must be set // 004025d8 c1f0ff54 b.ne 0x4023f0 // 004025dc 010080d2 mov x1, #0 // setgroups(0, NULL) // 004025e0 000080d2 mov x0, #0 // 004025e4 b3feff97 bl setgroups // 004025e8 007d8052 mov w0, #0x3e8 // setgid(1000) // 004025ec 71feff97 bl setgid // 004025f0 00f0ff35 cbnz w0, 0x4023f0 // 004025f4 007d8052 mov w0, #0x3e8 // setuid(1000) // 004025f8 a6fdff97 bl setuid // 004025fc a0efff35 cbnz w0, 0x4023f0 condition: $kvm and $op } |
