Linux KVM’da kritik zaiflik aniqlandi: virtual mashina orqali host serverni egallash!

Kiberxavfsizlik sohasida CVE-2026-53359 identifikatori bilan ro‘yxatga olingan hamda «Januscape» deb nomlangan yangi kritik zaiflik aniqlandi. Mazkur zaiflik Linux Kernel-based Virtual Machine (KVM) virtualizatsiya tizimining xotirani boshqarish mexanizmida mavjud bo‘lib, zararli virtual mashina (Guest) orqali host operatsion tizimi yadrosi xotirasini buzish hamda uning ustidan nazoratni qo‘lga kiritish imkoniyatini yaratishi mumkin.

Eng e’tiborga molik jihati shundaki, ushbu zaiflik qariyb 16 yil davomida Linux yadrosi kodida mavjud bo‘lib, shu vaqtgacha aniqlanmagan. Xavfsizlik tadqiqotchilarining ta’kidlashicha, zaiflik Intel va AMD protsessorlariga asoslangan KVM muhitlariga ta’sir ko‘rsatadi hamda virtualizatsiyaning eng muhim tamoyillaridan biri bo‘lgan host va guest tizimlari o‘rtasidagi izolyatsiyani buzishi mumkin.

Linux KVM nima?

Kernel-based Virtual Machine (KVM) — Linux yadrosiga o‘rnatilgan virtualizatsiya texnologiyasi bo‘lib, bitta jismoniy serverda bir nechta mustaqil virtual mashinalarni ishga tushirish imkonini beradi.

Bugungi kunda KVM ko‘plab ma’lumotlar markazlari, bulutli infratuzilmalar va korporativ serverlarda keng qo‘llaniladi. Jumladan:

  • virtual serverlarni boshqarish;
  • bulutli xizmatlarni tashkil etish;
  • test va ishlab chiqish muhitlarini yaratish;
  • konteyner va virtual mashinalarni boshqarish kabi vazifalarda KVM asosiy virtualizatsiya platformalaridan biri hisoblanadi.

Shu sababli KVM’da aniqlangan har qanday kritik zaiflik minglab serverlar va millionlab virtual mashinalar xavfsizligiga bevosita ta’sir ko‘rsatishi mumkin.

Zaiflik nimadan kelib chiqqan?

Mutaxassislarning aniqlashicha, muammo KVM tarkibidagi Shadow Memory Management Unit (Shadow MMU) deb nomlanuvchi xotirani boshqarish mexanizmida yuzaga kelgan.

Odatda zamonaviy Intel va AMD protsessorlari virtual xotirani apparat darajasida boshqaruvchi texnologiyalar (Intel EPT va AMD NPT) yordamida ishlaydi. Biroq Nested Virtualization (ichma-ich virtualizatsiya) qo‘llanilganda, ya’ni virtual mashina ichida yana boshqa virtual mashina ishga tushirilganda, KVM ayrim hollarda Shadow Paging mexanizmiga murojaat qiladi.

Aynan ushbu kam qo‘llaniladigan kod qismida mantiqiy xatolik mavjud bo‘lib, u xavfsizlik nuqtai nazaridan jiddiy oqibatlarga olib kelishi mumkin.

Zaiflik qanday ishlaydi?

KVM virtual xotirani boshqarishda Shadow Page deb ataluvchi maxsus xotira sahifalaridan foydalanadi.

Tahlillarga ko‘ra, KVM ayrim holatlarda mavjud Shadow Page’ni qayta ishlatishda faqat Guest Frame Number (GFN) qiymatini tekshiradi. Ammo ushbu sahifaning qanday vazifani (Role) bajarayotgani tekshirilmaydi.

Natijada turli vazifaga ega bo‘lgan Shadow Page’lar bir-biri bilan adashib ketadi.

Bu esa KVM ichidagi Reverse Mapping (rmap) mexanizmining noto‘g‘ri ishlashiga olib keladi. Mazkur mexanizm virtual xotiraning host fizik xotirasiga qanday bog‘langanini kuzatib boradi.

Vaqt o‘tishi bilan ushbu nomuvofiqlik Use-After-Free turidagi xatolikni yuzaga keltiradi. Bunday holatda tizim avval bo‘shatilgan xotira maydoniga qayta murojaat qiladi.

Agar mazkur xotira boshqa obyekt uchun ajratilgan bo‘lsa, KVM noto‘g‘ri joyga ma’lumot yozadi va natijada host yadrosi xotirasi buziladi (Kernel Memory Corruption).

Hujum qanday oqibatlarga olib kelishi mumkin?

Xavfsizlik tadqiqotchilari tomonidan e’lon qilingan Proof-of-Concept (PoC) sinovlari zaiflik yordamida host tizimida xizmat ko‘rsatishni rad etish (Denial-of-Service – DoS) hujumini muvaffaqiyatli amalga oshirish mumkinligini ko‘rsatdi.

Sinov davomida virtual mashina ichida maxsus tayyorlangan xotira operatsiyalari bajarilgan va natijada KVM yaxlitlik nazorati mexanizmi xotira buzilganini aniqlagan.

Shundan so‘ng Linux yadrosi Kernel Panic holatiga o‘tgan va butun host server faoliyati to‘xtagan.

Agar tizimda CONFIG_BUG_ON_DATA_CORRUPTION himoya mexanizmi yoqilgan bo‘lsa, server deyarli darhol ishdan chiqadi.

Biroq mutaxassislarni bundan ham ko‘proq xavotirga solayotgan jihat — zaiflik faqat DoS hujumlari bilan cheklanmaydi.

Tadqiqotchilar ushbu xatolik yordamida Guest-to-Host Escape, ya’ni virtual mashinadan chiqib host operatsion tizimida Root darajasidagi ixtiyoriy kodni bajarish ham mumkinligini tasdiqlashdi.

Bu esa virtual mashina foydalanuvchisiga butun server ustidan nazorat o‘rnatish imkonini beradi.

Bulutli infratuzilmalar uchun xavf

Mazkur zaiflik ayniqsa bulutli xizmat ko‘rsatuvchi tashkilotlar uchun katta xavf tug‘diradi.

Ko‘plab bulutli platformalarda bir nechta mijozlarning virtual mashinalari bitta jismoniy serverda ishlaydi. Agar ulardan biri ushbu zaiflikdan foydalansa, nazariy jihatdan u host tizimiga zarar yetkazishi yoki boshqa mijozlarning resurslariga ta’sir ko‘rsatishi mumkin.

Shu sababli ichma-ich virtualizatsiya (Nested Virtualization) yoqilgan muhitlarda xavf darajasi ancha yuqori hisoblanadi.

Intel va AMD tizimlariga birdek ta’sir qiladi

Januscape zaifligining yana bir muhim jihati shundaki, u faqat bitta protsessor ishlab chiqaruvchisiga tegishli emas.

Zaif kod KVM’ning umumiy x86 virtualizatsiya qismida joylashgani sababli:

  • Intel VMX;
  • AMD SVM

platformalarida deyarli bir xil usulda ekspluatatsiya qilinishi mumkin.

Tadqiqotchilar tomonidan ishlab chiqilgan PoC ikkala arxitekturada ham muvaffaqiyatli ishlashini ko‘rsatgan.

Zaiflik amalda ekspluatatsiya qilingan

Mutaxassislarning ma’lum qilishicha, Januscape zaifligi ommaga oshkor qilinishidan avval Google kvmCTF dasturi doirasida Zero-Day sifatida ekspluatatsiya qilingan.

Bu esa mazkur zaiflik nafaqat nazariy, balki amaliy tahdid ham ekanligini ko‘rsatadi.

Mas’uliyatli oshkor etish (Responsible Disclosure) jarayonidan so‘ng Linux yadrosi ishlab chiquvchilari qisqa muddat ichida tegishli tuzatishni ishlab chiqib, rasmiy yadro kodiga kiritdilar.

Muammo qanday bartaraf etildi?

Yangi yangilanishda Shadow Page’larni qayta ishlatish mexanizmi qayta ko‘rib chiqildi.

Endilikda KVM mavjud Shadow Page’dan foydalanishdan oldin nafaqat Guest Frame Number (GFN), balki uning Role qiymatini ham tekshiradi.

Natijada turli vazifaga ega bo‘lgan Shadow Page’larning chalkashib ketishi oldi olinadi va zaiflikning asosiy sababi bartaraf etiladi.

Kimlar xavf ostida?

Quyidagi muhitlarda xavf darajasi yuqori hisoblanadi:

  • KVM asosida virtualizatsiya ishlatilayotgan Linux serverlari;
  • Nested Virtualization funksiyasi yoqilgan tizimlar;
  • bulutli xizmat ko‘rsatuvchi infratuzilmalar;
  • ko‘p foydalanuvchili virtualizatsiya platformalari;
  • ishonchsiz foydalanuvchilarga virtual mashina yaratish huquqi berilgan muhitlar.

Himoyalanish bo‘yicha tavsiyalar

Mazkur zaiflikdan himoyalanish uchun quyidagi choralarni amalga oshirish tavsiya etiladi:

  • Linux yadrosining ushbu zaiflik bartaraf etilgan eng so‘nggi xavfsizlik yangilanishlarini zudlik bilan o‘rnatish;
  • agar zarurat bo‘lmasa, Nested Virtualization funksiyasini o‘chirib qo‘yish;
  • KVM ishlayotgan serverlarni muntazam ravishda xavfsizlik auditidan o‘tkazish;
  • virtual mashinalarda g‘ayrioddiy xotira operatsiyalarini monitoring qilish;
  • host tizimlarida yadro xavfsizlik mexanizmlarini (Kernel Hardening) yoqish;
  • Linux distributivlari ishlab chiquvchilari tomonidan chiqarilgan xavfsizlik byulletenlarini doimiy kuzatib borish.

CVE-2026-53359 (Januscape) so‘nggi yillarda KVM virtualizatsiya tizimida aniqlangan eng xavfli zaifliklardan biri sifatida baholanmoqda. Qariyb 16 yil davomida yashirin qolgan ushbu xatolik virtual mashinalar va host tizimi o‘rtasidagi ishonchli izolyatsiya tamoyilini izdan chiqarishi mumkin.

Zaiflik yordamida zararli virtual mashina host yadrosi xotirasini buzishi, serverni ishdan chiqarishi hamda ma’lum sharoitlarda host operatsion tizimida Root huquqlari bilan ixtiyoriy kod bajarishi mumkin.

Shu sababli KVM asosidagi virtualizatsiyadan foydalanayotgan barcha tashkilotlar va tizim administratorlariga Linux yadrosining eng so‘nggi xavfsizlik yangilanishlarini zudlik bilan o‘rnatish, Nested Virtualization funksiyasini qayta ko‘rib chiqish hamda virtualizatsiya muhitlarini muntazam monitoring va xavfsizlik auditi orqali nazorat qilish qat’iy tavsiya etiladi.