На прошлой неделе стало известно о серьезной уязвимости в гипервизоре KVM (новость, подробная публикация первооткрывателя). Проблема с идентификатором CVE-2026-53359 получила название Januscape. Предложенный исследователем PoC приводит к падению хоста со всеми виртуальными машинами, но теоретически атака может быть доработана и до еще более опасного сценария. Ошибка в код Linux KVM была внесена 16 лет назад, и это, возможно, первый подобный баг, который затрагивает серверы одновременно на процессорах AMD и Intel.

Ошибка в коде относится к механизму управления таблицами страниц в так называемом теневом модуле управления памятью (Shadow MMU). Отсутствующая проверка на тип страницы в некоторых условиях приводит к обращению к совершенно другой странице. Это фактически повреждает состояние KVM и рано или поздно приводит к падению ядра системы. Исследователь Ким Хен У, обнаруживший ошибку и представивший ее на соревновании kvmCTF, допускает в том числе возможность выполнения произвольного кода. Осложняется это тем, что потенциальный атакующий в лучшем случае может контролировать точку назначения записи данных, но не то, какие данные записываются.

Ошибка была внесена коммитом в ядро Linux версии 2.6.36 еще в августе 2010 года. Патч, закрывающий уязвимость, был внесен 19 июня 2026 года (выпущен для версий ядра с пятой по седьмую). Как говорилось выше, уязвимость сработает на серверах с уязвимым ядром, работающих на процессорах Intel и AMD, но не ARM. Злоумышленнику требуется root-доступ к виртуальной машине, что является стандартным сценарием. Кроме того, должен быть активен режим Nested Virtualization.

Это не первая уязвимость в Linux от исследователя Ким Хен У. Он же открыл проблему Dirty Frag, а в июне этого года сообщал об уязвимости ITScape — также проблеме побега из «песочницы» для KVM, но на архитектуре arm64. Уязвимости класса «побег из "песочницы"» представляют максимальную опасность для облачных сервисов, так как в худшем случае позволяют обычному клиенту получить контроль над внутренней инфраструктурой поставщика. Januscape прямо сейчас обещает только отказ в обслуживании, но и это достаточно серьезная для провайдеров проблема.

Что еще произошло 

Эксперты «Лаборатории Касперского» опубликовали регулярный отчет о ландшафте угроз для систем промышленной автоматизации за первый квартал 2026 года.

Новая уязвимость класса CitrixBleed затрагивает решение Citrix NetScaler ADC. Проблема CVE-2026-8451 схожа с рядом более ранних багов, связанных с утечкой данных из оперативной памяти. Как и предыдущие проблемы, новая также была практически моментально эксплуатирована в реальном мире, буквально через несколько часов после публикации бюллетеня.

Уязвимость с максимальным уровнем опасности в платформе для веб-разработки Adobe ColdFusion также начала эксплуатироваться злоумышленниками всего через два часа после публикации бюллетеня. Проблема CVE-2026-48282 относится к классу path traversal и позволяет загружать на сервер произвольные файлы.

Данные о целых 25 уязвимостях раскрыла компания Ubiquiti. Среди обнаруженных в экосистеме UniFi проблем две критические, с рейтингом 9,9 и 10 баллов. Эти уязвимости позволяют получить контроль над устройством, как правило, при нахождении в той же локальной сети. Всего 7 из 25 багов имеют рейтинг 9 баллов и выше по шкале CVSS.

Еще одна свеженайденная уязвимость в Linux называется GhostLock и может использоваться для саботажа внутренних файловых шар по протоколу SMB. Проблема существовала в ядре в течение последних 15 лет. Первооткрыватель уязвимости опубликовал примеры кода у себя на GitHub.

Любопытное исследование показывает, как можно взломать сервер OpenClaw путем отправки единственного сообщения.

Microsoft закрыла уязвимость в Windows, которую ранее слил в открытый доступ аноним под ником Nightmare Eclipse.

Компания Binarly обнаружила шесть уязвимостей в загрузчике U-Boot, используемом в различных устройствах, включая роутеры и умные видеокамеры. Уязвимости могут быть использованы в том числе для выполнения произвольного кода — из-за ошибок в процессе верификации прошивки устройства. Большинство проблем присутствуют в коде загрузчика начиная с 2013 года.

За последние месяцы множество пользователей получили письма, подобные показанному на скриншоте выше. Как выяснил исследователь Уилл Томас, это была фишинговая кампания, целью которой являлась кража учеток в Google. До собственно фишинговой страницы пользователя вели несколько редиректов через легитимные сервисы.

Комментарии (0)