PoC ameaça servidores em nuvem ARM
Um pesquisador de segurança publicou em junho de 2026 um proof-of-concept funcional para a vulnerabilidade CVE-2026-46316, batizada de “ITScape”, que permite a uma máquina virtual maliciosa escapar do ambiente virtualizado e executar comandos no host com privilégios root em servidores Linux com KVM/arm64. A falha reside na lógica de emulação do controlador de interrupções vGIC-ITS dentro do kernel Linux e resulta de uma condição de corrida que gera um cenário de “double-put”, levando à execução arbitrária de código no kernel do host.
Como o escape funciona
Diferente das vulnerabilidades tradicionais de escape de VM, que frequentemente exploram componentes do QEMU em espaço de usuário, a ITScape existe inteiramente dentro do kernel Linux. Isso torna a falha mais grave: a exploração resulta em acesso direto ao nível do kernel, e não a um processo em espaço de usuário com privilégios limitados. O atacante dentro da VM guest executa operações MMIO (memory-mapped I/O) específicas nos registradores do GIC/ITS, que disparam a condição de corrida e permitem a execução de código no host. A prova de conceito cria um arquivo chamado “/ITScape” no sistema host, pertencente ao root, confirmando a escalação de privilégio além da fronteira da máquina virtual.
| Parâmetro | Detalhe |
|---|---|
| CVE | CVE-2026-46316 |
| Apelido | ITScape |
| Pesquisador | Hyunwoo Kim (V4bel) |
| Subsistema | KVM/arm64 — vGIC-ITS |
| Tipo | Condição de corrida (race condition) |
| Versões afetadas | Entre commit 8201d1028caa (abr/2024) e 13031fb6b835 (5/6/2026) |
| Impacto | Execução de código no host com privilégios root |
Risco para provedores de nuvem
A vulnerabilidade é preocupante para provedores de nuvem pública e ambientes multi-tenant que rodam workloads não confiáveis em infraestrutura ARM64. Como o exploit compromete a garantia fundamental de isolamento da virtualização, um ataque bem-sucedido permite movimento lateral, exfiltração de dados de outros tenants ou a tomada completa da infraestrutura. O PoC foi projetado para ambientes de teste com QEMU TCG, mas o pesquisador alerta que a adaptação para ambientes de produção é viável para atacantes com conhecimento de configurações específicas do kernel. A divulgação seguiu um embargo coordenado via lista linux-distros, e patches já foram lançados.
Mitigações recomendadas
Equipes de segurança devem atualizar imediatamente os kernels Linux em hosts KVM/arm64 para versões que incluam o patch de 5 de junho de 2026. Em ambientes onde a atualização não é imediata, restrinja a execução de VMs não confiáveis, aplique políticas rigorosas de isolamento entre tenants e monitore comportamento anômalo no controlador de interrupções KVM. Provedores de nuvem que oferecem instâncias ARM64 devem auditar suas pilhas de virtualização e comunicar aos clientes sobre a necessidade de atualização dos hypervisores.