Pesquisadores de segurança alertam que uma vulnerabilidade recém-divulgada no kernel Linux pode ser explorada para escapar de máquinas virtuais (VMs) e executar código no host subjacente.
Rastreada como CVE-2026-53359 e conhecida como Januscape, a falha de segurança atinge o código do shadow MMU (unidade de gerenciamento de memória de sombra) no hipervisor KVM (Máquina Virtual baseada em Kernel) do Linux.
A vulnerabilidade do tipo guest-to-host (do convidado para o host) representa uma grande ameaça para nuvens públicas x86 multilocatárias que executam convidados não confiáveis e expõem virtualização aninhada. Ela é considerada o primeiro exploit do KVM que pode ser disparado em ambas as arquiteturas Intel e AMD.
A falha foi descoberta pelo pesquisador de segurança Hyunwoo Kim (@v4bel), que a demonstrou como um zero-day no Google kvmCTF, o programa de recompensas por bugs que funciona como um evento CTF (Capture the Flag) e oferece até US$ 250 mil por vulnerabilidades que permitam fuga total de VM.
De acordo com Kim, a vulnerabilidade é do tipo use-after-free (uso após liberação) e pode ser acionada a partir da VM para corromper o estado das páginas de sombra do kernel do host.
A exploração bem-sucedida do Januscape, explica o pesquisador, pode levar ao comprometimento total do host no qual a VM está em execução.
"Por exemplo, um invasor que alugou apenas uma única instância em uma nuvem pública poderia causar pânico no kernel do host para derrubar todas as outras VMs de outros locatários na mesma máquina física, em um ataque de DoS (negação de serviço), ou executar código com privilégio de root no host para assumir o controle do host e de todos os convidados nele, em um ataque de RCE (execução remota de código)", explica Kim.
Em algumas distribuições Linux, como o Red Hat Enterprise Linux (RHEL), a falha de segurança pode ser explorada por usuários sem privilégios para escalar seus privilégios até root.
A exploração do Januscape exige privilégios de root na máquina convidada, o que normalmente está disponível por padrão quando um usuário recebe uma instância de VM em uma nuvem pública. Caso o acesso root não esteja disponível, um invasor poderia encadear a falha com um bug de escalonamento de privilégios, como o Dirty Frag, segundo Kim.
A CVE-2026-53359 permaneceu adormecida no kernel Linux por 16 anos. Foi corrigida na linha principal (mainline) em 19 de junho, quando o commit 81ccda30b4e8 foi integrado.