Một bản exploit proof-of-concept (PoC) đã được phát hành cho một lỗ hổng Linux kernel nghiêm trọng, cho phép thực hiện vượt thoát khỏi máy ảo (guest-to-host escape) trong môi trường KVM trên hệ thống ARM64. Lỗ hổng này, được đặt tên là “ITScape”, cho phép kẻ tấn công thoát khỏi máy ảo và thực thi các lệnh tùy ý trên máy chủ với toàn quyền truy cập ở cấp độ kernel.
Chi tiết về Lỗ hổng ITScape
Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật Hyunwoo Kim (V4bel) và ảnh hưởng đến việc triển khai KVM bên trong kernel, thay vì các thành phần không gian người dùng như QEMU. Điều này làm cho vấn đề trở nên đặc biệt nghiêm trọng, vì việc khai thác sẽ dẫn đến sự xâm phạm trực tiếp vào kernel máy chủ, chứ không chỉ là một tiến trình bị giới hạn trong không gian người dùng.
Nguyên nhân Gây Ra Lỗ Hổng
ITScape xuất phát từ một điều kiện tranh chấp (race condition) trong quá trình giả lập VVG-ITS (Interrupt Translation Service) bên trong KVM trên kiến trúc ARM64. Bằng cách kích hoạt các hoạt động liên quan đến ngắt (interrupt) từ bên trong máy ảo, kẻ tấn công có thể khai thác một điều kiện “double-put” dẫn đến hỏng dữ liệu bộ nhớ (memory corruption).
Sự hỏng dữ liệu này sau đó có thể được sử dụng để đạt được việc thực thi mã tùy ý (arbitrary code execution) trong ngữ cảnh của kernel máy chủ.
Bằng chứng Khai thác (PoC)
Bản PoC được phát hành cho thấy cách lỗ hổng có thể được kích hoạt hoàn toàn từ máy ảo khách mà không yêu cầu bất kỳ sự tương tác nào từ máy chủ. Trong môi trường thử nghiệm, bản exploit sử dụng các bài kiểm tra tự thân của KVM và chạy bên trong một môi trường QEMU TCG để giả lập một máy chủ ARM64.
Mã trong máy ảo thực hiện các thao tác GIC/ITS MMIO được chế tạo cẩn thận, kích hoạt một lỗi trong logic xử lý ngắt của KVM, cuối cùng dẫn đến việc thực thi mã ở cấp độ máy chủ. Việc khai thác thành công được xác nhận bằng cách tạo một tệp có tên “/ITScape” trên hệ thống máy chủ với quyền sở hữu root.
Mặc dù bản PoC chưa được hoàn thiện hoàn toàn cho các cuộc tấn công thực tế, nó chứng minh một cách đáng tin cậy chuỗi khai thác đầy đủ. Nhà nghiên cứu Hyunwoo Kim (V4bel) đã lưu ý trên GitHub rằng những kẻ tấn công quen thuộc với cơ sở hạ tầng đám mây có thể điều chỉnh kỹ thuật này bằng cách tinh chỉnh các vị trí bộ nhớ, điều kiện thời gian và các tham số dành riêng cho kernel, làm cho việc khai thác trong thế giới thực trở nên khả thi.
Thông tin kỹ thuật bổ sung
- CVE ID: CVE-2026-46316
- Tên lỗ hổng: ITScape
- Loại lỗ hổng: Guest-to-Host Escape
- Hệ điều hành bị ảnh hưởng: Linux Kernel
- Kiến trúc bị ảnh hưởng: ARM64
- Môi trường bị ảnh hưởng: KVM (Kernel-based Virtual Machine)
- Biện pháp phòng ngừa: Cập nhật bản vá
Phạm vi Ảnh hưởng và Các Phiên bản Bị Tác Động
Lỗ hổng này ảnh hưởng đến các phiên bản Linux kernel từ tháng 4 năm 2024 (commit 8201d1028caa) cho đến đầu tháng 6 năm 2026, trước khi bản vá được giới thiệu trong commit 13031fb6b835. Các hệ thống chạy các phiên bản này trong môi trường ARM64 KVM đều có nguy cơ bị tấn công, đặc biệt là những hệ thống lưu trữ các tải công việc không đáng tin cậy hoặc đa người thuê (multi-tenant workloads).
Vấn đề này đặc biệt đáng lo ngại đối với các nhà cung cấp dịch vụ đám mây công cộng sử dụng cơ sở hạ tầng ARM64, nơi người dùng thường có quyền truy cập root vào máy ảo của riêng họ. Trong những trường hợp như vậy, lỗ hổng có thể cho phép kẻ tấn công thoát khỏi VM của họ, giành quyền kiểm soát máy chủ và có khả năng xâm phạm các khách thuê khác hoặc tải công việc chạy trên cùng một hệ thống.
Quan trọng là, lỗ hổng này không ảnh hưởng đến các hệ thống x86, vì nó là đặc thù của hệ thống con KVM ARM64 nằm trong mã hóa ảo hóa của Linux kernel. Nguồn thông tin chi tiết có thể tham khảo tại NVD.
Các Biện pháp Bảo mật và Khuyến nghị
Các nhóm bảo mật được khuyến cáo mạnh mẽ nên áp dụng bản vá ngay lập tức và xác minh rằng hệ thống của họ không còn chạy các phiên bản kernel dễ bị tấn công. Các biện pháp phòng ngừa bổ sung bao gồm giám sát các hành vi bất thường của máy ảo, hạn chế tiếp xúc với các máy ảo khách không đáng tin cậy và luôn cảnh giác với các nghiên cứu sâu hơn về các kỹ thuật thoát khỏi KVM tương tự.
Việc phát hành một bản PoC hoạt động làm tăng đáng kể nguy cơ bị khai thác, làm cho việc cập nhật bản vá kịp thời và giám sát chủ động trở nên thiết yếu cho các môi trường bị ảnh hưởng. Bảo mật thông tin và an ninh mạng là ưu tiên hàng đầu.
Chỉ số xâm phạm (Indicators of Compromise – IOCs)
Mặc dù IOCs cụ thể cho các cuộc tấn công thực tế có thể thay đổi, các dấu hiệu tiềm ẩn có thể bao gồm:
- Sự xuất hiện của tệp
/ITScapetrên hệ thống máy chủ. - Các hoạt động bất thường liên quan đến xử lý ngắt trong kernel KVM ARM64.
- Các tiến trình hoặc lệnh thực thi với quyền root trên máy chủ mà không có sự cho phép rõ ràng.
- Các nỗ lực truy cập hoặc sửa đổi dữ liệu từ bên ngoài phạm vi máy ảo được chỉ định.
Việc theo dõi các chỉ số này có thể giúp phát hiện sớm các nỗ lực khai thác hoặc xâm nhập trái phép.
