✨︎ Resumen (TL;DR):
- El investigador Hyunwoo Kim publicó un exploit de código abierto para la vulnerabilidad CVE-2026-46316.
- El bug afecta a múltiples versiones del kernel arm64 lanzadas entre abril de 2024 y junio de 2026.
- Los atacantes pueden escapar del aislamiento de la máquina virtual y obtener acceso root en el servidor principal.
ITScape es una vulnerabilidad de kernel que permite a una máquina virtual evadir su entorno aislado (sandbox) y tomar control del servidor principal con privilegios máximos. La publicación de su exploit de prueba de concepto (PoC) encendió las alertas para todos los operadores de nube que utilizan infraestructura ARM64.
El investigador de seguridad Hyunwoo Kim (@v4bel) descubrió y reportó esta brecha, registrada bajo el identificador CVE-2026-46316. El ataque golpea directamente a la emulación vGIC-ITS dentro de los sistemas KVM/arm64, explotando una condición de carrera lógica en la caché de traducción.
El 10 de junio, el reporte oficial en la lista de correo oss-sec detalló que la falla permite “un escape del invitado al host en un entorno KVM/arm64 y ejecutar comandos en el host con privilegios de kernel (root)”.
En su repositorio de GitHub, Kim dimensionó el impacto de su trabajo al afirmar que “hasta donde es de conocimiento público, esta es la primera investigación de exploit de escape de invitado a host dirigida a KVM/arm64”.
Un ataque directo al núcleo del sistema
A diferencia de las brechas tradicionales que atacan emuladores de espacio de usuario como QEMU, esta falla ocurre en el KVM integrado en el kernel de Linux. Esto inactiva por completo las barreras defensivas estándar del software.
- La vulnerabilidad nace en la función de código
vgic_its_invalidate_cache(). - Diferentes comandos del sistema vacían la misma caché al mismo tiempo sin bloqueos de seguridad.
- Al borrar simultáneamente una misma entrada, la referencia de memoria se elimina de forma duplicada.
- Este choque técnico genera una condición crítica de use-after-free.
Para ejecutar el exploit, el atacante requiere privilegios de kernel invitado (EL1) que controlen las interacciones del hardware GIC/ITS. Pese a este requisito, el documento de divulgación técnica advierte que el ataque se “desencadena el bug solo con acciones del lado del invitado para escapar al host”.
El problema compromete a las versiones del kernel arm64 distribuidas desde finales de abril de 2024 hasta principios de junio de 2026. Los responsables de Linux ya integraron un parche donde la función vgic_put_irq() descarta su referencia basándose exclusivamente en el valor que devuelve el código xa_erase().
El CVE se hizo público el 9 de junio y el código del exploit apareció 24 horas después. Los administradores de entornos cloud multi-inquilino deben aplicar las actualizaciones de seguridad de inmediato para evitar que cualquier usuario con acceso virtual comprometa físicamente sus servidores.
