Una vulnerabilità Linux capace di trasformare una macchina virtuale ospite in un grimaldello per prendere il controllo dell’intero sistema host è finita sotto i riflettori in questi giorni, tanto da spingere Google a mettere sul piatto una cifra decisamente notevole per chi l’ha scovata. Parliamo di una delle due falle ad alta gravità emerse questa settimana nel sistema operativo open source, e quella più pesante ha un nome quasi teatrale, Januscape, oltre a un premio da EUR 219.221, che al cambio si aggirano intorno ai 230.000 euro.
Il difetto si annida in KVM, che poi non è altro che l’app per macchine virtuali integrata nel kernel di parecchie distribuzioni Linux. Registrata come CVE-2026-53359, la vulnerabilità consente alle macchine virtuali guest, quelle usate nelle piattaforme cloud per tenere separata l’istanza di un utente dal sistema host e dalle istanze degli altri, di sfuggire al proprio contenitore. Un bel problema, considerando quanto è diffuso questo tipo di isolamento.
Come funziona Januscape e perché fa paura al cloud
La cosa interessante, o inquietante a seconda dei punti di vista, è che il bug colpisce KVM sia su processori AMD che Intel. E soprattutto era lì, indisturbato, da ben 16 anni. A scoprirlo è stato il ricercatore Hyunwoo Kim, che ha spiegato la portata della faccenda senza troppi giri di parole. Con sole azioni lato guest, un attaccante può compromettere l’host che fa girare la sua VM. In pratica, chi ha affittato una singola istanza su un cloud pubblico potrebbe mandare in crash il kernel host e buttare giù tutte le altre VM presenti sulla stessa macchina fisica, oppure eseguire codice con privilegi di root e prendersi host e ospiti in un colpo solo.
Tecnicamente si tratta di una use-after-free, un tipo di corruzione della memoria che inietta codice malevolo in aree appena liberate. Il tutto si gioca nell’emulazione della shadow MMU, il processo che traduce gli indirizzi di memoria tra host e hypervisor. Kim ha già rilasciato una proof of concept che gira nella VM guest e fa crashare il sistema host, mentre l’exploit completo, quello che permette la fuga totale, resterà chiuso in un cassetto fino a un futuro molto lontano, parole sue. Da notare che il problema non tocca QEMU, il che significa che gli exploit funzionano anche negli ambienti cloud che usano il proprio stack di virtualizzazione. L’unico requisito è che l’utente della VM guest abbia i privilegi di root.
GhostLock, la seconda falla nascosta da 15 anni
L’altra vulnerabilità che ha fatto capolino permette a utenti con permessi limitati di scalare fino a root. Si chiama GhostLock, è tracciata come CVE-2026-43499 e se ne stava acquattata nel sistema operativo da 15 anni. I ricercatori di Nebula Security l’hanno individuata grazie a Vega, il loro scanner di vulnerabilità assistito dall’intelligenza artificiale. Matt Lucas, fondatore di RedEye Security, ha chiarito dove si nasconde il difetto, ossia nel meccanismo di priority inheritance dei futex del kernel, quel sistema che evita a un compito urgente di restare bloccato dietro uno banale.
In un caso raro, quando un’operazione di lock finisce in un vicolo cieco e deve tornare indietro, la pulizia parte nel momento sbagliato e cancella il record del task sbagliato. Il kernel resta così con un puntatore a una memoria già liberata e riutilizzata. Fidarsi di quel puntatore vecchio è l’intero bug, un classico use-after-free. Da lì Nebula ha concatenato una manciata di passaggi fino al controllo completo, ingannando il kernel affinché eseguisse il loro codice come root. Il codice incriminato risale al 2011, roba vecchia e usatissima che pochi si erano presi la briga di rileggere negli anni.
GhostLock ha ottenuto un punteggio di gravità di 7,8 su 10 e Google ha premiato i ricercatori con EUR 80.969, circa 85.000 euro, sempre attraverso il programma kernelCTF. Entrambe le falle hanno già ricevuto le relative patch nel kernel Linux, e chi usa il sistema dovrebbe controllare la propria distribuzione per assicurarsi che le correzioni siano arrivate sulla versione specifica in uso.