Lỗ hổng cho phép thoát máy ảo và chiếm quyền host trên Linux bị công bố mã PoC

Một bằng chứng khai thác (PoC) vừa được công bố cho lỗ hổng CVE-2026-46316 trong Linux kernel đã xác nhận khả năng thoát máy ảo sang máy chủ trên các hệ thống sử dụng KVM kiến trúc ARM64. Lỗ hổng cho phép phá vỡ cơ chế cô lập giữa máy ảo và host, từ đó mở ra nguy cơ can thiệp trực tiếp vào nhân hệ điều hành của máy chủ vật lý.
​

CVE-2026-46316 còn được biết đến với tên ITScape, tồn tại trong cơ chế vGIC-ITS (Interrupt Translation Service) của KVM, thành phần đảm nhiệm việc xử lý ánh xạ và phân phối ngắt trong môi trường ảo hóa ở cấp kernel. Vấn đề phát sinh từ race condition trong quá trình quản lý tài nguyên, dẫn đến lỗi double-put và gây hỏng cấu trúc bộ nhớ trong không gian kernel của hệ thống host.

Khi khai thác thành công, kẻ tấn công từ bên trong máy ảo có thể thực thi mã trong ngữ cảnh kernel của máy chủ vật lý, đạt mức đặc quyền cao nhất trên hệ thống. Quyền truy cập này cho phép can thiệp trực tiếp vào hoạt động của host và tạo tiền đề cho các cuộc tấn công sâu hơn vào hạ tầng ảo hóa. Trong các hạ tầng cloud phục vụ nhiều khách hàng, việc chiếm quyền host có thể tạo bàn đạp để mở rộng phạm vi xâm nhập sang các hệ thống khác cùng vận hành trên một nền tảng phần cứng.

PoC được công bố cho thấy ITScape có thể bị khai thác hoàn toàn từ bên trong máy ảo mà không cần bất kỳ tương tác nào từ phía máy chủ. Trong môi trường thử nghiệm, mã khai thác thực hiện một loạt thao tác MMIO được thiết kế đặc biệt nhằm tác động đến cơ chế xử lý ngắt GIC/ITS của KVM, từ đó kích hoạt lỗi trong thành phần vGIC-ITS. Chuỗi khai thác sau đó dẫn đến thực thi mã trên hệ thống host và được xác nhận bằng việc tạo thành công một tệp tin thuộc quyền sở hữu của tài khoản root trên máy chủ.
​

Theo nhà nghiên cứu Hyunwoo Kim (V4bel), PoC hiện tại chưa được vũ khí hóa hoàn chỉnh nhưng có thể được điều chỉnh để phù hợp với các môi trường cloud thực tế thông qua việc tinh chỉnh tham số bộ nhớ, điều kiện thời gian và cấu trúc kernel. Điều này khiến khả năng khai thác trong thực tế trở nên khả thi hơn, đặc biệt trong các hạ tầng điện toán đám mây ARM64 đa người dùng.

Phạm vi ảnh hưởng của CVE-2026-46316 trải rộng từ các phiên bản Linux kernel được tích hợp commit từ tháng 4/2024 cho đến trước bản vá được phát hành vào đầu tháng 6/2026. Các hệ thống sử dụng KVM trên ARM64 và vận hành workload không tin cậy được đánh giá là nhóm chịu rủi ro cao nhất. Đáng chú ý, CVE-2026-46316 không ảnh hưởng đến kiến trúc x86, do chỉ tồn tại trong thành phần ảo hóa KVM dành riêng cho ARM64 trong Linux kernel.

Cộng đồng phát triển Linux kernel đã phát hành bản vá cho CVE-2026-46316 tại commit 13031fb6b835. Đối với các hệ thống KVM ARM64, việc rà soát phiên bản kernel đang sử dụng và ưu tiên triển khai bản vá cần được thực hiện sớm nhằm loại bỏ nguy cơ bị khai thác. Bên cạnh đó, các đơn vị vận hành nên tăng cường giám sát hoạt động của máy ảo và hạn chế triển khai workload không đáng tin cậy trên cùng hạ tầng vật lý cho đến khi quá trình cập nhật hoàn tất.

Việc công bố PoC đã mang đến bằng chứng rõ ràng rằng CVE-2026-46316 không chỉ là một lỗi kỹ thuật trong KVM. Với khả năng vượt khỏi máy ảo và can thiệp trực tiếp vào host, lỗ hổng này đang trở thành một trong những rủi ro đáng chú ý nhất đối với các hệ thống ARM64 sử dụng KVM hiện nay.