Januscape : 16 ans dans l’ombre pour cette faille KVM qui menace le cloud

Actu Cybersécurité

Januscape : 16 ans dans l’ombre pour cette faille KVM qui menace le cloud

Januscape (CVE-2026-53359), c’est le nom de la nouvelle faille de sécurité qui fait trembler l’univers de la virtualisation sous Linux. Cette vulnérabilité permet à une machine virtuelle de corrompre la mémoire du noyau de son hôte, et de s’en évader. Elle affecte aussi bien les serveurs équipés de processeurs Intel que ceux à base de puces AMD. Voici ce que l’on sait.

Une faille KVM liée au noyau Linux

Pour faire tourner une machine virtuelle, KVM tient à jour ses propres tables de pages, qui reflètent la mémoire de l’invité. C’est le rôle du shadow MMU. Le défaut est là : pour réutiliser une de ces pages, KVM se fiait à la seule adresse mémoire, sans vérifier le type de page. Le problème, c’est que deux pages différentes peuvent partager la même adresse. KVM réutilisait donc parfois la mauvaise, ce qui a donné lieu à cette vulnérabilité de type use-after-free.

Dans la plupart des cas, le noyau repère l’incohérence et s’arrête net. C’est ce que fait le code de démonstration publié par le chercheur : depuis une simple VM, il fait planter l’hôte et, avec lui, toutes les autres machines virtuelles hébergées. Un joli kernel panic aux allures de déni de service.

Ce qui est plus inquiétant, c’est le second scénario d’exploitation : un enchaînement précis permet d’écrire hors des zones mémoire autorisées. L’attaquant ne choisit pas la valeur écrite, seulement son emplacement, mais cela suffit, selon le chercheur, à exécuter du code sur l’hôte. La bonne nouvelle, c’est que le chercheur a gardé cet exploit pour lui. On ne s’en plaindra pas.

D’ailleurs, la découverte de la faille Januscape est à mettre au crédit de Hyunwoo Kim. À sa connaissance, ce serait le premier exploit permettant de s’évader de l’invité vers l’hôte déclenchable à la fois sur Intel et sur AMD (arm64 n’est pas concerné). Cela pourrait lui valoir une excellente récompense : Kim indique avoir soumis cet exploit comme zero-day dans le cadre du kvmCTF de Google. Il s’agit du programme bug bounty dédié à KVM, qui verse jusqu’à 250 000 dollars pour une évasion complète d’une VM vers son hôte. Jackpot.

Le cloud en première ligne

Pour être exploitée, la faille Januscape a besoin que deux conditions soient respectées du côté de l’invité :

  • L’attaquant doit disposer des droits root à l’intérieur de la VM.
  • L’hôte expose la virtualisation imbriquée au sein de la VM.

Cette faille de sécurité est particulièrement dangereuse sur les environnements Cloud. En effet, si vous louez un serveur VPS (qui est donc une machine virtuelle), vous disposez d’un accès root sur cette machine. De plus, même sur les hôtes qui s’appuient par défaut sur l’accélération matérielle EPT (Intel) ou NPT (AMD), l’activation de la virtualisation imbriquée renvoie KVM vers l’ancien shadow MMU, là où se niche précisément le bug.

Il y a donc un risque élevé sur tous les environnements qui hébergent des invités non maîtrisés (une instance louée, par exemple) avec la virtualisation imbriquée activée. Un attaquant qui loue une seule instance peut faire tomber l’hôte, et avec lui toutes les autres VM des locataires présents sur le même serveur physique. Les hébergeurs doivent donc se montrer prudents et patcher rapidement leurs plateformes.

Comment se protéger de la faille Januscape ?

Le code vulnérable est présent depuis le commit , intégré en août 2010, à l’époque du noyau . Soit près de 16 ans d’existence pour cette vulnérable. Le correctif, quant à lui, tient en quelques lignes. Il complète la condition de réutilisation dans pour vérifier désormais le rôle de la page () en plus du . Une page n’est ainsi réutilisée que si son numéro de trame et son rôle correspondent.

Le patch a été rédigé par le mainteneur de KVM Paolo Bonzini et fusionné dans la branche principale du noyau le 19 juin 2026, via le commit . Du côté du noyau Linux, les versions stables corrigées ont été publiées le 4 juillet 2026 : , , , , , et .

Du côté des mainteneurs de distributions Linux, les correctifs commencent déjà à sortir, comme c’est le cas avec Debian. Pour Red Hat, consultez cette page : les correctifs sont en attente sur les versions vulnérables.

Qu’en est-il des plateformes basées sur KVM ? Proxmox VE et oVirt sont concernés, mais au niveau du noyau de l’hôte, pas en tant que produits. La correction passe donc par la mise à jour du noyau : le paquet pour Proxmox VE, et le noyau de la distribution sous-jacente pour oVirt.

Si vous ne pouvez pas appliquer le correctif, la désactivation de la virtualisation imbriquée ( ou ) supprime le vecteur d’attaque. Même si cela peut avoir des conséquences selon ce qui est exécuté sur les machines virtuelles, au moins vous empêchez l’espace vers l’hôte.

Depuis plusieurs mois, les failles critiques dans le noyau Linux s’enchaînent. Plusieurs failles permettent un accès root sur Linux, que ce soit de Fragnesia à la toute récente faille DirtyClone, sans oublier Dirty Pipe.

Pour approfondir le sujet :

SOURCE