Une vulnérabilité critique menace les serveurs cloud Linux : Januscape (CVE-2026-53359)
Une vulnérabilité récemment découverte permet à n’importe quelle machine virtuelle louée sur un cloud de compromettre le serveur physique qui l’héberge. Cette faille, nommée Januscape, est présente dans le noyau Linux depuis 2010.
Le 6 juillet 2026, le chercheur en cybersécurité Hyunwoo Kim, connu sous le pseudo @v4bel, a identifié cette vulnérabilité lors d’un programme organisé par Google, appelé kvmCTF. Ce programme invite des chercheurs du monde entier à tester la sécurité des hyperviseurs en tentant de « sortir » d’une machine virtuelle pour compromettre la machine physique sous-jacente.
Januscape, référencée sous le nom CVE-2026-53359, affecte l’hyperviseur KVM, utilisé pour faire fonctionner les machines virtuelles sur les serveurs Linux équipés de processeurs Intel ou AMD. Comme l’a démontré Kim, cette faille permet à un attaquant ayant accès à une VM de manipuler la mémoire de manière à accéder à la machine hôte.
Pour mieux comprendre le fonctionnement de Januscape, il est essentiel de saisir le rôle de KVM. Cet hyperviseur crée une couche d’abstraction entre les machines virtuelles et la mémoire physique. En réutilisant des blocs de mémoire déjà utilisés, KVM peut, dans certains cas, attribuer des blocs de mémoire à de nouvelles VM sans vérifier leur contenu précédent. Cela peut entraîner des erreurs dans la gestion de la mémoire, ouvrant la voie à des attaques potentielles.
Kim a identifié deux scénarios d’exploitation. Le premier implique que le système d’exploitation détecte une incohérence, entraînant un plantage de la machine physique, ce qui affecte toutes les VM hébergées. Le second, plus grave, se produit si un bloc de mémoire est réutilisé avant que le nettoyage de son contenu précédent soit complet. Dans ce cas, un attaquant peut potentiellement écraser des données sur des zones de mémoire critiques, permettant une élévation de privilèges et un accès complet à la machine hôte.
Pour que cette faille soit exploitable, deux conditions doivent être remplies : l’attaquant doit disposer des droits root dans la VM et la machine hôte doit avoir activé la virtualisation imbriquée. Cette fonctionnalité, souvent utilisée dans des environnements cloud partagés, augmente considérablement le risque d’exploitation de Januscape.
Le correctif pour cette vulnérabilité a été intégré au noyau Linux principal le 16 juin 2026 et a été diffusé dans plusieurs versions stables de Linux début juillet.
Source : Numerama
