Si les environnements VMware sont régulièrement la cible d’attaques, la sécurité des outils de virtualisation open source ne doit pas être sous-estimée. Preuve en est de la découverte d’une faille référencée CVE-2026-5539 dans l’hyperviseur de type 1 KVM (Kernel-based Virtual Machine). Elle résulte d’un bug mémoire de type « use after free » dans le MMU (unité de gestion de la mémoire) de KVM sur l’architecture x86 (pour les processeurs AMD et Intel). Trouvée par le chercheur indépendant Hyunwoo Kim, la vulnérabilité était présente dans le kernel Linux depuis 16 ans.

L’expert a baptisé la faille « Januscape » et l’a signalée l’a signalée via le programme de récompense des vulnérabilités kvmCTF de Google, qui offre jusqu’à 250 000 dollars pour une évasion complète d’une machine virtuelle démontrée sous KVM. Le fournisseur se sert de l’hyperviseur aussi bien dans Google Cloud que dans l’infrastructure Android. « À lui seul, un attaquant peut, via des actions menées au niveau des machines virtuelles invitées, compromettre l’hôte sur lequel s’exécute sa VM », indiquent les chercheurs dans un avis publié sur GitHub. « Par exemple, un attaquant ayant réservé une seule instance sur un cloud public pourrait provoquer une panique au niveau du noyau de l’hôte afin de mettre hors service toutes les autres machines virtuelles des tenants hébergées sur la même machine physique (Deny of Service, DoS), ou exécuter du code avec des privilèges root sur l’hôte pour prendre le contrôle de celui-ci et de toutes les machines virtuelles invitées qui s’y trouvent. »

Sur certaines distributions Linux, notamment Red Hat Enterprise Linux (RHEL), cette vulnérabilité peut également être exploitée pour une élévation locale des privilèges au sein de la machine virtuelle invitée, car le périphérique /dev/kvm est accessible en écriture à tous (0666). La faille Januscape a été corrigée par les responsables du noyau Linux le 16 juin, mais les utilisateurs doivent vérifier la disponibilité des mises à jour auprès des responsables de leur distribution respective. Linux disposant d’un vaste écosystème de variantes et de canaux de support, la diffusion des correctifs vers toutes les versions existantes pourrait prendre un certain temps.

Preuve de concept d’évasion de la machine virtuelle

 Hyunwoo a publié une preuve de concept démontrant le « kernel panic » et la condition de déni de service, mais il s’est abstenu pour l’instant de publier l’exploit complet rendant possible l’évasion de la machine virtuelle. Même s’il a indiqué dans son rapport détaillé qu’il était difficile de parvenir à une évasion complète en raison de la complexité de la primitive, cela ne signifie pas pour autant que d’autres chercheurs ou des attaquants malveillants ne seraient pas en mesure de développer un exploit fonctionnel. Januscape ne fonctionne que sur les serveurs équipés de processeurs Intel et AMD, mais M. Hyunwoo a également révélé le mois dernier une autre vulnérabilité permettant une évasion de l'environnement invité vers l'hôte dans KVM, baptisée ITScape (CVE-2026-46316), qui fonctionne sur l'architecture ARM64.

Ce chercheur, qui utilise le pseudonyme V4bel en ligne, est aussi l’auteur de l’exploit « Dirty Frag » pouvant déboucher sur une escalade de privilèges sous Linux. Développé plus tôt cette année, l’exploit combine les techniques de corruption du cache de pages du noyau « Dirty Pipe » (CVE-2022-0847) et « Copy Fail » (CVE-2026-31431). Les exploits de type « VM escape » comptent parmi les attaques les plus dangereuses pour les environnements d’entreprise, qui ont souvent recours à la virtualisation pour isoler des applications et des services hérités qui ne sont plus pris en charge par leurs développeurs ou dont la compromission pourrait représenter un risque majeur pour l’ensemble de l’infrastructure.