El 9 de enero de 2026 Ubuntu publicó el aviso de seguridad USN-7940-2, que actualiza el kernel Linux en Ubuntu 24.04 LTS y corrige, entre más de un centenar de vulnerabilidades, una conocida como VMSCAPE (CVE-2025-40300). Se trata de un fallo de la familia de vulnerabilidades de ejecución especulativa que afecta a entornos virtualizados.
Qué es VMSCAPE
VMSCAPE es un fallo de aislamiento insuficiente del predictor de saltos (branch predictor) entre una máquina virtual huésped y el hipervisor que se ejecuta en espacio de usuario, como QEMU. En las CPU modernas, el predictor de saltos intenta anticipar el flujo del programa para acelerar la ejecución. Cuando ese estado no se aísla correctamente al salir de una VM, un atacante situado dentro del huésped puede “envenenar” el predictor para influir en la ejecución especulativa del proceso del hipervisor en el host.
El resultado es una vía de fuga: un atacante dentro de una VM huésped podría llegar a exponer información sensible del sistema anfitrión. Es una variante del problema clásico de canal lateral por ejecución especulativa (en la línea de Spectre), y afecta a procesadores x86.
A quién afecta
El aviso de Ubuntu se centra en Ubuntu 24.04 LTS y, en concreto, en los kernels para instancias Azure (incluidas las variantes con soporte NVIDIA), donde la virtualización es el escenario habitual. De forma más amplia, según la base de datos NVD, el problema toca a numerosas versiones del kernel Linux (ramas estables 5.10, 5.15, 6.1, 6.6 y 6.12, entre otras).
El público más expuesto son los operadores de infraestructura virtualizada: proveedores cloud, hosting y cualquier despliegue donde varias VM no confiables compartan el mismo host físico. En un equipo de escritorio sin VM no confiables, el riesgo práctico es mucho menor.
Gravedad
VMSCAPE está calificado por NVD con un CVSS 3.1 de 5.5 (gravedad media), vector AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H. Esto refleja que requiere acceso local con privilegios bajos dentro del huésped y que no hay interacción de usuario. La mitigación del kernel introduce una barrera IBPB (Indirect Branch Predictor Barrier) condicional tras las salidas de la VM para proteger al hipervisor en espacio de usuario.
Conviene matizar: aunque su puntuación es media, el verdadero valor de VMSCAPE para un atacante es como eslabón de una cadena, combinándolo con otros fallos para construir un exploit fiable contra el host.
Mitigación y parche
La recomendación es directa: aplicar las actualizaciones del kernel distribuidas por Ubuntu. El aviso USN-7940-2 corrige el kernel en 24.04 LTS y, además de VMSCAPE, resuelve más de un centenar de CVE adicionales en múltiples subsistemas (ARM64, PowerPC, x86, criptografía, red, almacenamiento y sistemas de archivos).
Pasos prácticos:
- Ejecuta
sudo apt update && sudo apt upgradepara instalar el kernel corregido. - Reinicia el sistema: el cambio sólo surte efecto tras un reinicio, ya que el kernel en ejecución no se reemplaza en caliente.
- Si usas módulos de kernel de terceros, recompílalos: el aviso indica que hubo un cambio de ABI.
Para máquinas que no pueden reiniciarse de inmediato, conviene priorizar los hosts que ejecutan VM de baja confianza, ya que son el escenario donde VMSCAPE tiene sentido real.
Si gestionas servidores Ubuntu en producción, esta actualización es un buen momento para revisar tu estrategia de hardening y aislamiento. Puedes consultar nuestra ficha de Ubuntu para más contexto sobre el ciclo de soporte de la distribución.
Fuente
- Aviso original: Ubuntu Security Notice USN-7940-2
- Detalle de la vulnerabilidad: CVE-2025-40300 en NVD