Une vulnérabilité critique baptisée Januscape, corrigée dans le module de virtualisation basé sur le noyau Linux, présente un risque d’exécution de code arbitraire pour les environnements cloud multi-locataires et les serveurs d’entreprise virtualisés.
Une vulnérabilité critique dans le module KVM (Kernel-based Virtual Machine) du noyau Linux permet aux attaquants disposant d’un accès root sur une VM invitée d’exécuter du code arbitraire sur le système hôte. Cela viole la frontière de sécurité la plus importante sur laquelle s’appuient les fournisseurs de cloud et les entreprises pour isoler les processus sensibles sur les serveurs.
La vulnérabilité, suivie comme CVE-2026-53359, provient d’un bug de mémoire d’utilisation après libération dans l’émulation Shadow MMU de KVM sur l’architecture CPU x86. Selon Hyunwoo Kim, le chercheur qui l’a découvert, la faille est présente dans le code du noyau Linux depuis 16 ans et constitue la première vulnérabilité d’évasion KVM d’invité à hôte qui fonctionne à la fois sur les processeurs Intel et AMD.
Hyunwoo a surnommé la faille Januscape et l’a signalé via kvmCTF de Google, un programme de récompense de vulnérabilité qui paie jusqu’à 250 000 $ pour une évasion complète de VM démontrée dans KVM, que Google utilise dans Google Cloud ainsi que dans l’infrastructure Android.
« Avec les seules actions côté invité, un attaquant peut compromettre l’hôte qui exécute sa VM », écrit la recherche dans un avis sur GitHub. « Par exemple, un attaquant qui n’a loué qu’une seule instance sur un cloud public pourrait paniquer le noyau hôte pour supprimer toutes les autres machines virtuelles locataires sur la même machine physique (DoS), ou exécuter du code avec les privilèges root sur l’hôte pour prendre le contrôle de l’hôte et de tous les invités qui s’y trouvent (RCE). »
Sur certaines distributions Linux, notamment Red Hat Enterprise Linux (RHEL), la vulnérabilité peut également être exploitée pour une élévation de privilèges locale à l’intérieur de la VM invitée, car le /dev/kvm l’appareil est accessible en écriture partout (0666).
La faille Januscape a été corrigée par les responsables du noyau Linux le 16 juin, mais les utilisateurs doivent vérifier les mises à jour auprès de leurs responsables de distribution respectifs. Étant donné que Linux dispose d’un vaste écosystème de variantes et de canaux de support, cela peut prendre un certain temps avant que les correctifs ne soient appliqués à toutes les versions existantes.
Preuve de concept d’évasion de VM
Hyunwoo a publié une preuve de concept qui démontre la panique du noyau et la condition de déni de service, mais il a pour l’instant hésité à publier l’exploit d’évasion complet de la VM. Même s’il a déclaré dans son article détaillé qu’il était difficile de parvenir à une évasion complète car la primitive est délicate, cela ne signifie pas que d’autres chercheurs ou attaquants malveillants ne seraient pas en mesure de développer un exploit fonctionnel.
Januscape ne fonctionne que sur les serveurs équipés de processeurs Intel et AMD, mais Hyunwoo a également divulgué le mois dernier une autre vulnérabilité d’évasion KVM invité-hôte baptisée ITScape (CVE-2026-46316) qui fonctionne sur l’architecture ARM64. Le chercheur, qui utilise le surnom de V4bel en ligne, est également la personne qui a développé l’exploit d’élévation de privilèges Dirty Frag Linux plus tôt cette année en combinant les techniques de corruption du cache de pages du noyau Dirty Pipe (CVE-2022-0847) et Copy Fail (CVE-2026-31431).
Les exploits d’évasion de VM font partie des attaques les plus dangereuses contre les environnements d’entreprise, qui utilisent souvent la virtualisation pour isoler les applications et services existants qui ne sont plus pris en charge par leurs développeurs ou dont la compromission pourrait présenter un risque important pour l’ensemble de l’infrastructure.
Les attaquants ont déjà exploité les vulnérabilités d’échappement des machines virtuelles, en ciblant particulièrement l’hyperviseur VMware ESXi, et il existe même des groupes APT spécialisés dans le ciblage des environnements virtualisés.



