ITScape: De eerste KVM/arm64 'Guest-to-Host Escape' is een feit – en er is een werkende exploit

De bug bevindt zich in vgic_its_invalidate_cache(), die de per-ITS translation cache doorloopt met xa_for_each() en vgic_put_irq() aanroept op de geïtereerde pointer in plaats van op de waarde die veilig wordt geretourneerd door xa_erase(). Omdat meerdere contexten deze functie kunnen aanroepen onder verschillende locks, is de race condition volledig te activeren vanuit een gast door het afhandelen van ITS-commando's, een GITS_CTLR-schrijfactie en het wissen van EnableLPIs in een redistributor te combineren .

Waarom dit ertoe doet: De eerste KVM/arm64 Guest-to-Host Escape

'Guest-to-host escapes' zijn zeldzaam, maar vormen de gevaarlijkste klasse van hypervisor-bugs omdat ze de isolatiegrens doorbreken waar cloud computing van afhankelijk is. Eerdere publieke KVM-escaperichtten zich op x86-systemen, meestal via bugs in QEMU of AMD-specifieke code . ITScape is de eerste werkende exploit die een uitbraak demonstreert vanuit een onbevoorrechte arm64-gast-VM via de in-kernel KVM-code zelf — er zijn geen bugs in de gebruikersruimte-emulator voor nodig .

Voor cloudproviders die Graviton-, Ampere Altra- of andere arm64 KVM-hosts met multi-tenant workloads gebruiken, kan een gast het volgende doen:

• Willekeurig host-kernelgeheugen lezen en schrijven
• Escaleren naar ring 0-code-uitvoering op de host
• Lateraal bewegen naar andere VM's, containers of het netwerk van de host

De meeste beveiligingsteams hebben de kwetsbaarheid beoordeeld met een CVSS-score boven de 9.0, wat de kritieke ernst ervan weerspiegelt .

De onderliggende oorzaak in detail

De kwetsbare code bevindt zich in het pad voor het ongeldig verklaren van de LPI-translation cache. Wanneer de kernel cache-invoeren moet legen, itereert het door de XArray met xa_for_each() en roept het vgic_put_irq() aan om het aantal referenties op elke invoer te verlagen. Het probleem is dat xa_for_each() invoeren kan retourneren die mogelijk al zijn gewist door een gelijktijdige operatie, zoals een 'DISCARD ITS'-commando van een andere vCPU. De lus voor het ongeldig verklaren verlaagt dan alsnog de referentie op die reeds verwijderde invoer, wat een dubbele vrijgave en uiteindelijk een 'use-after-free' veroorzaakt .

Een eerdere kwetsbaarheid in dezelfde code, CVE-2024-26598, had een UAF in het cache-hitpad deels aangepakt door de refcount te verhogen binnen vgic_its_check_cache() voordat de lock werd vrijgegeven. Die fix dekte echter niet het pad voor het ongeldig verklaren, waardoor de race condition exploiteerbaar bleef via een andere triggervolgorde .

De patch

De upstream fix wijzigt vgic_its_invalidate_cache() zodat vgic_put_irq() alleen wordt aangeroepen op de waarde die wordt geretourneerd door xa_erase(), en niet op elke invoer die de iterator tegenkomt. De commit message luidt: "KVM: arm64: vgic-its: Drop the translation cache reference only for the erased entry" .

Omdat xa_erase() atomair de oude invoer verwijdert en retourneert — of NULL retourneert als de invoer al verdwenen was — zorgt de fix ervoor dat de referentieteller precies één keer wordt verlaagd, waardoor het 'double-free'-venster wordt geëlimineerd. De patch werd begin juni 2026 in de upstream-kernel opgenomen en rond 8-10 juni 2026 snel doorgevoerd naar de 6.x-stable serie . Grote distributies zoals Red Hat, SUSE en Debian hebben backported fixes uitgebracht voor hun ondersteunde kernelbranches .

Getroffen versies

• Geïntroduceerd: Eind april 2024, toen de LPI-translation cache voor het eerst aan KVM/arm64 werd toegevoegd
• Kwetsbare periode: Upstream-kernels gebouwd van circa april 2024 tot begin juni 2026
• Opgelost: Upstream-fix gecommit begin juni 2026; opgenomen in de nieuwste 6.x-stable kernels en backports van distributies

Proof-of-Concept Exploit

Hyunwoo Kim heeft rond 9-10 juni 2026 een werkende exploit op GitHub openbaar gemaakt. De repository bevat de volledige broncode, stapsgewijze reproductie-instructies en een technische beschrijving van de exploitatietechniek . De exploit triggert de race door vCPU-threads te coördineren die gelijktijdig DISCARD-commando's en LPI-translation cache-lookups uitvoeren, om zo de 'use-after-free' precies te landen voor code-uitvoering op de host.

De publieke beschikbaarheid van een betrouwbare PoC betekent dat geautomatiseerde exploitscanners en echte aanvallers de kwetsbaarheid met minimale inspanning kunnen bewapenen, waardoor het tijdsvenster tussen openbaarmaking en actieve aanvallen wordt verkort.

Spoedmitigatie voor ARM64-cloudbeheerders

Als u multi-tenant arm64 KVM-infrastructuur beheert — AWS Graviton, Ampere Altra of een vergelijkbaar platform — behandel dit dan als een directe noodsituatie voor uw patchcyclus.

1. Patch de hostkernel nu direct. Pas de laatste -stable kernel toe die de fix van begin juni 2026 bevat, of het backported pakket van uw distributie .
2. Schakel de in-kernel vGIC-ITS voor niet-vertrouwde gasten uit als u niet onmiddellijk kunt patchen. Met QEMU kan dit door GICv3 ITS-emulatie naar de gebruikersruimte te forceren, of door GICv3 ITS-mogelijkheden niet aan niet-vertrouwde tenants te tonen .
3. Vertrouw niet op hardening aan de gastzijde. Dit is een bug op hypervisorniveau; er is geen workaround binnen de VM .
4. Controleer uw serverpark op kwetsbare kernels. Elke arm64 KVM-host die een kernel draait gebouwd tussen april 2024 en begin juni 2026 met vGIC-ITS in gebruik, loopt risico .
5. Monitor op indicatoren van exploitatie. Met publieke PoC-code zijn actieve scans en compromitteringspogingen zeer waarschijnlijk .