Alquiló una máquina virtual y consiguió acceso root al host: vulnerabilidad en el kernel de Linux que pasó desapercibida durante dos años
Vulnerabilidad en ITScape permitía a una máquina virtual sobrescribir las reglas de un servidor físico
El especialista en seguridad Hyunwoo Kim mostró la vulnerabilidad ITScape, que alteraba el comportamiento de KVM en arm64 y permitía que un sistema invitado escapara al anfitrión.
La vulnerabilidad recibió el identificador CVE-2026-46316 (CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 9.3 Crítico). El problema no estaba en QEMU, donde normalmente se buscan errores de este tipo, sino en el núcleo de Linux, en la implementación de KVM para arm64. Debido a una carrera en la emulación de vGIC-ITS, el sistema invitado podía influir en cómo el anfitrión procesa las interrupciones y lograr que éste ejecute comandos.
El principal peligro de ITScape radica en los privilegios que obtiene el atacante. Con un ataque exitoso, el código se ejecutaba no con los permisos de un proceso normal de virtualización, sino con los privilegios del núcleo del anfitrión. En la demostración, después de salir del sistema invitado la vulnerabilidad creaba el archivo /ITScape en el anfitrión en nombre de un usuario con uid 0.
El autor califica el trabajo como el primer caso descrito públicamente en el que un sistema invitado consigue acceder al anfitrión específicamente para KVM/arm64. Para realizar el ataque es necesario actuar desde dentro de la máquina invitada y tener privilegios del núcleo en ella. En entornos en la nube esa condición suele cumplirse, ya que el cliente normalmente recibe privilegios de administrador en su máquina virtual.
El código explotable completamente funcional no se ha publicado. La demostración disponible se basa en las pruebas de KVM del código fuente de Linux y está diseñada para reproducir el error de forma segura, incluso a través de QEMU TCG. Al mismo tiempo, el autor advierte que un atacante que conozca bien la arquitectura de una plataforma de nube concreta podrá trasladar la cadena de ataque al entorno real ajustando direcciones, desplazamientos, el momento de la carrera y los parámetros del núcleo.
ITScape afecta a las versiones de Linux desde el commit 8201d1028caa del 25 de abril de 2024 hasta 13031fb6b835 del 5 de junio de 2026, donde se corrigió el problema. La vulnerabilidad afecta solo a KVM en arm64 y no afecta a x86, porque el error se encuentra en el directorio arch/arm64/kvm/vgic/.
A los administradores de hosts arm64 con KVM, especialmente en entornos multiinquilino, se les recomienda verificar la presencia del parche 13031fb6b835 en el núcleo. A los usuarios de servidores en la nube basados en arm64 les conviene consultar el estado de la actualización con su proveedor. El autor también considera ITScape como una nueva clase de errores y espera que aparezcan hallazgos similares, pero pide comprobar de forma independiente si futuras variantes solo pueden activarse desde el sistema invitado y si son viables en entornos reales.