Исследователь безопасности Хюнву Ким (известный под псевдонимом V4bel) опубликовал доказательство концепции (PoC) эксплуатации критической уязвимости в ядре Linux, идентифицированной как CVE-2026-46316. Проблема затрагивает подсистему KVM (Kernel-based Virtual Machine - средство виртуализации на базе ядра) на архитектуре ARM64. Она позволяет вредоносной гостевой виртуальной машине выполнить произвольный код на хосте с полными привилегиями ядра (root). По шкале CVSS уязвимость оценивается как критическая. Патчи уже выпущены, однако публикация рабочего эксплойта существенно повышает риск атак в реальных условиях.
Узявимость CVE-2026-46316
Уязвимость, получившая собственное имя ITScape, находится в логике эмуляции виртуального контроллера прерываний vGIC-ITS (Virtual Generic Interrupt Controller - Interrupt Translation Service) внутри реализации KVM в ядре. Причиной является состояние гонки (race condition), которое приводит к сценарию двойного освобождения (double-put) памяти ядра. В результате злоумышленник может добиться выполнения кода с привилегиями ядра хоста.
Особенность данной уязвимости в том, что она существует целиком в пространстве ядра Linux, в отличие от многих классических проблем выхода за пределы виртуальной машины, которые затрагивают пользовательские компоненты эмулятора, например QEMU. Эксплуатация CVE-2026-46316 даёт прямой доступ к ядру хоста, а не к процессу в пользовательском режиме, что делает её существенно опаснее.
Согласно технической документации и опубликованному на GitHub коду, цепочка эксплуатации инициируется исключительно действиями внутри гостевой системы. Дополнительного взаимодействия с пользовательскими слоями эмуляции не требуется. Для запуска уязвимости гостевая рабочая нагрузка выполняет определённые операции MMIO (memory-mapped input/output - ввод-вывод, отображаемый в память) с регистрами контроллера GIC/ITS. Это вызывает состояние гонки и позволяет покинуть виртуальную среду, выполнив код на хосте.
Успешность эксплуатации проверяется созданием на хосте файла с именем "/ITScape", принадлежащего пользователю root. Это прямое подтверждение выхода за границы гостевой системы и повышения привилегий.
Опубликованный эксплойт предназначен для контролируемых тестовых сред. Он использует QEMU TCG (программную эмуляцию) для запуска ARM64-системы. Исследователь построил код на основе набора тестов KVM для ядра Linux (Linux KVM self-tests). Инструкция по сборке включает команду "./build.sh <linux>/tools/testing/selftests/kvm" внутри дерева исходных кодов уязвимого ядра. После компиляции бинарный файл PoC помещается в initramfs (образ начальной файловой системы), и QEMU запускается с помощью вспомогательного скрипта "./qemu.sh <kernel-image> <initramfs>". Внутри эмулированной среды тестировщик запускает сам эксплойт командой "./poc".
Уязвимость присутствует в определённом диапазоне версий ядра: между коммитами 8201d1028caa (апрель 2024 года) и 13031fb6b835 (5 июня 2026 года) - до выпуска исправления. Исследователь отмечает, что, хотя PoC не является полностью готовым для атак на реальные облачные среды, его адаптация для производственных развёртываний возможна для злоумышленников, знакомых с конкретными конфигурациями ядра, раскладкой памяти и настройками таймингов.
Особую обеспокоенность данная уязвимость вызывает у публичных облачных провайдеров и организаций, которые используют ARM64-инфраструктуру для размещения ненадёжных гостевых рабочих нагрузок. Поскольку эксплуатация нарушает фундаментальные гарантии изоляции, предоставляемые виртуализацией, успешная атака может привести к горизонтальному перемещению в инфраструктуре, краже данных или полному захвату управления.
Разглашение уязвимости происходило в рамках скоординированного эмбарго через список рассылки Linux-distros. Патчи уже включены в стабильные ветки ядра. Специалистам по безопасности настоятельно рекомендуется немедленно обновить ядра Linux до версий, содержащих исправление, и провести аудит виртуальных сред на предмет возможного воздействия. В качестве дополнительных мер защиты можно ограничить выполнение ненадёжных гостевых машин, применить строгие политики изоляции и настроить мониторинг аномального поведения KVM или контроллера прерываний.
Публикация рабочего PoC значительно повышает вероятность эксплуатации уязвимости в реальных атаках. Своевременное обновление и обнаружение попыток использования становятся критически важными для защиты инфраструктур, особенно в облачных средах с мультиарендностью.
Ссылки
