ثغرة KVM في لينكس المعروفة باسم Januscape تتيح لآلة افتراضية ضارة استهداف النظام المضيف على معالجات Intel وAMD، بعد خلل بقي مخفياً لنحو 16 عاماً.
ما هي ثغرة KVM في لينكس Januscape؟
الثغرة تحمل المعرف CVE-2026-53359، وتضرب مكوّن KVM Hypervisor المسؤول عن تشغيل الآلات الافتراضية داخل نواة Linux. الخطورة هنا أنها تنطلق من داخل الضيف نفسه، ثم تعبث بحالة الذاكرة في النظام المضيف.
وبحسب المعلومات المتداولة، فإن الخلل من نوع use-after-free داخل shadow MMU، وهو جزء مشترك بين منصات Intel وAMD x86. هذا يعني أن نطاق التأثر واسع في البيئات التي تعتمد على الافتراضية المتداخلة.
لماذا تعد خطيرة؟
- تسمح بتعطيل النظام المضيف بالكامل عبر VM ضارة
- قد تؤدي إلى إسقاط جميع الآلات الافتراضية على الخادم نفسه
- هناك ادعاءات بإمكانية تطويرها إلى تنفيذ كود على المضيف
كيف تعمل ثغرة Januscape عملياً؟
يعتمد KVM على جداول صفحات خاصة به لتتبع ذاكرة الضيف أثناء تشغيل الآلة الافتراضية. وعندما يحتاج صفحة تتبع جديدة، يحاول أحياناً إعادة استخدام صفحة موجودة مسبقاً لتقليل الكلفة.
المشكلة أن المطابقة كانت تتم عبر عنوان الذاكرة فقط، من دون التحقق من نوع صفحة التتبع نفسها. النتيجة أن النظام قد يعيد استخدام صفحة تؤدي وظيفة مختلفة تماماً، ما يربك سجلات KVM الداخلية.
ما الذي يحدث بعد ذلك؟
- في السيناريو الشائع: تكتشف النواة الفوضى وتتوقف لحماية نفسها
- في السيناريو الأخطر: تُعاد الصفحة المحررة لاستخدام آخر قبل التنظيف
- عندها قد تكتب النواة في موقع ذاكرة لم تعد تملكه
هذا المسار لا يمنح المهاجم تحكماً كاملاً مباشرة، لكنه يوفّر موطئ قدم يمكن استغلاله لاحقاً. وهنا تظهر القيمة الأمنية الكبيرة لهذه الثغرة بالنسبة لمشغلي السحابة ومقدمي الاستضافة.
من المتأثر بثغرة KVM في لينكس؟
الخلل موجود منذ أغسطس 2010 تقريباً، أي منذ أيام kernel 2.6.36، قبل أن تتم معالجته في التحديث الرئيسي المدمج يوم 19 يونيو 2026. وهذا يفسر لماذا يصفه البعض بأنه من أخطر أخطاء KVM المكتشفة في السنوات الأخيرة.
الاستغلال يحتاج عادة إلى شرطين من جهة الضيف، وهما صلاحيات root داخل الآلة الافتراضية، وتفعيل nested virtualization من جهة المضيف. ووفقاً لقراءة تيكبامين، فهذا يجعل الخطر أعلى في بيئات الاختبار، وبعض الخوادم السحابية، ومنصات الأمن البحثي.
أبرز نقاط التأثر
- الأنظمة المعتمدة على Linux KVM
- معالجات Intel وAMD x86
- البيئات التي تتيح افتراضية متداخلة للمستخدمين
ماذا يجب على مسؤولي الأنظمة فعله الآن؟
الخطوة الأولى هي مراجعة إصدار النواة والتأكد من وصول الإصلاح الأمني الأخير. كما يُنصح بتقييد nested virtualization عندما لا تكون هناك حاجة فعلية لها، لأن ذلك يقلل سطح الهجوم بشكل مباشر.
ومن المهم أيضاً مراقبة أي حالات kernel panic غير مفسرة داخل خوادم الافتراضية. في النهاية، تؤكد ثغرة KVM في لينكس أن أخطاء قديمة داخل البنية التحتية يمكن أن تتحول فجأة إلى تهديد حديث، وهو ما يستحق انتباهاً سريعاً من فرق الأمن، كما يوضح تيكبامين.