El 10 de juny de 2026, l’investigador Hyunwoo Kim (@v4bel) va publicar a la llista oss-security els detalls d’ITScape, registrat com a CVE-2026-46316. És, segons el seu autor, la primera recerca d’exploit d’escapament de convidat a amfitrió dirigida a KVM en arm64. Una màquina virtual convidada maliciosa pot sortir del seu aïllament i executar ordres al sistema amfitrió amb privilegis de kernel, és a dir, root.
Què és
El defecte és al vGIC-ITS, l’emulació de l’Interrupt Translation Service del controlador d’interrupcions virtual que KVM ofereix als convidats arm64. Es tracta d’un use-after-free provocat per una condició de cursa a la funció vgic_its_invalidate_cache(), lligada a un recompte de referències defectuós durant la invalidació de la memòria cau.
El camí de l’exploit és concret. El convidat configura dues instàncies ITS amb entrades de taula d’interrupcions (ITE) que apunten al mateix objecte. Després, diverses vCPU desactiven alhora el lliurament d’LPI per forçar crides concurrents a la invalidació de memòries cau. Aquesta concurrència provoca un doble put sobre els objectes vgic_irq, que acaba en use-after-free. A partir d’aquí, el convidat omple la memòria alliberada amb estructures d’interrupció falses i, mitjançant la resolució de lliurament d’interrupcions, redirigeix l’execució del kernel cap a gadgets que escriuen a memòria del kernel (amb el suport d’orderly_poweroff i mecanismes associats).
A qui afecta
Afecta el kernel Linux amb KVM en arm64 quan el convidat disposa de vGIC v3. El codi vulnerable és present des del commit 8201d1028caa (abril de 2024) fins a la seva correcció. L’exploit de prova estava ajustat a un kernel concret (Linux v7.1-rc6 aarch64) amb adreces i offsets fixos, però la vulnerabilitat de fons no es limita a aquesta versió.
El risc recau sobretot en infraestructures de virtualització multiinquilí: núvols públics basats en arm64 on diverses VM de clients diferents comparteixen un mateix amfitrió. Allà, un client amb una VM pot trencar la separació que l’aïlla de la resta. Per a servidors arm64 que executen convidats de confiança el risc és menor, però continua sent un defecte de severitat crítica.
Gravetat
CVSS 9.3 (crítica). L’impacte és màxim: execució de codi a escala de kernel a l’amfitrió i pèrdua total de l’aïllament convidat-amfitrió. No cal cap usuari a la VM més enllà de controlar el sistema convidat mateix, i l’atac s’executa íntegrament des de dins de la màquina virtual.
Mitigació
La correcció es va integrar a l’arbre principal de Linux. Aplica els pegats del kernel corresponents:
- Commit
13031fb6b8357fbbcded2a7f4cba73e4781ee594(correcció principal de CVE-2026-46316). - Commit
70543358fa08e0f7cebc3447c3b70fe97ad7aaa8(CVE-2026-46317, relacionat). - Commit
f2ca45b50d4216c9cc7ffabf50d9ad1932209251(pegat addicional recomanat).
Actualitza el kernel dels amfitrions arm64 que executin convidats amb KVM tan bon punt la teva distribució publiqui els paquets amb aquests canvis. Si gestiones un amfitrió multiinquilí, prioritza el desplegament: l’aïllament entre VM és justament el que aquesta vulnerabilitat trenca.
Aquest cas s’assembla a altres use-after-free recents en rutes de virtualització del kernel, com l’integer underflow a vsock/virtio (CVE-2026-23069). Si vols el detall del kernel que dona suport a tot això, tens la fitxa del Kernel Linux.
Font
- oss-security (openwall): ITScape: Guest-to-Host Escape in KVM/arm64
- NVD: CVE-2026-46316