Descoberta e escopo da vulnerabilidade
Um exploit de prova de conceito (PoC) foi liberado para uma vulnerabilidade crítica no kernel Linux, identificada como CVE-2026-46316, que permite um escape de convidado para host em ambientes KVM em sistemas arm64. A falha, apelidada de "ITScape", permite que atacantes saiam de uma máquina virtual e executem comandos arbitrários no host com privilégios completos de nível de kernel. A vulnerabilidade foi descoberta pelo pesquisador de segurança Hyunwoo Kim (V4bel) e afeta a implementação KVM no kernel, em vez de componentes de espaço de usuário como o QEMU.
Isso torna o problema particularmente grave, pois a exploração resulta em um comprometimento direto do kernel do host, em vez de um processo de espaço de usuário confinado. O ITScape é causado por uma condição de corrida na emulação vGIC-ITS (Interrupt Translation Service) dentro do KVM em arm64. Ao desencadear operações específicas relacionadas a interrupções a partir de dentro de um convidado, um atacante pode explorar uma condição de "double-put" que leva à corrupção de memória.
Detalhes técnicos e exploração
Essa corrupção pode então ser aproveitada para alcançar execução de código arbitrário no contexto do kernel do host. O PoC liberado demonstra como a vulnerabilidade pode ser desencadeada inteiramente a partir da VM convidada, sem exigir qualquer interação do host. No ambiente de teste, o exploit usa testes de auto KVM e executa dentro de um ambiente QEMU TCG para emular um host ARM64.
O código do convidado realiza operações MMIO GIC/ITS elaboradas que desencadeiam uma falha na lógica de tratamento de interrupções do KVM, levando finalmente à execução de código em nível de host. A exploração bem-sucedida é confirmada pela criação de um arquivo chamado "/ITScape" no sistema host com propriedade root. Embora o PoC não esteja totalmente armado para ataques do mundo real, ele demonstra de forma confiável a cadeia de exploração completa.
Impacto e alcance
A vulnerabilidade afeta versões do kernel Linux de abril de 2024 (commit 8201d1028caa) até junho de 2026, antes do patch introduzido no commit 13031fb6b835. Sistemas executando essas versões em ambientes KVM ARM64 são vulneráveis, particularmente aqueles que hospedam cargas de trabalho não confiáveis ou multi-inquilino. Este problema é especialmente preocupante para provedores de nuvem pública que usam infraestrutura ARM64, onde os usuários geralmente têm acesso root às suas próprias máquinas virtuais.
Nesses cenários, a vulnerabilidade poderia permitir que um atacante escapasse de sua VM, ganhasse controle do host e potencialmente comprometesse outros inquilinos ou cargas de trabalho executadas no mesmo sistema. É importante notar que a vulnerabilidade não afeta sistemas x86, pois é específica ao subsistema KVM ARM64 localizado no código de virtualização do kernel Linux.
Medidas de mitigação recomendadas
Equipes de segurança são fortemente aconselhadas a aplicar o patch disponível imediatamente e verificar se seus sistemas não estão mais executando versões de kernel vulneráveis. Precauções adicionais incluem monitorar comportamento incomum de VM, limitar a exposição a convidados não confiáveis e permanecer alerta para pesquisas adicionais sobre técnicas semelhantes de escape KVM. A liberação de um PoC funcional aumenta significativamente o risco de exploração, tornando o patchamento oportuno e o monitoramento proativo essenciais para ambientes afetados.
Perguntas frequentes
Quais sistemas são afetados? Apenas sistemas KVM em arquitetura ARM64 com versões de kernel entre abril de 2024 e junho de 2026. É necessário acesso root? Não, a exploração ocorre a partir da VM convidada sem autenticação no host. Como mitigar? Aplicar o patch do kernel imediatamente e monitorar comportamento anômalo de VMs.