Eine einzige gemietete Cloud-Instanz genügt, um den gesamten Wirtsrechner zu kapern. Die KVM-Sicherheitslücke Januscape hebelt die Trennung zwischen den Mietern aus, die das Fundament jeder virtualisierten Infrastruktur bildet. Für Betreiber und Kunden von Cloud- und Managed-Hosting ist das ein Weckruf.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die KVM-Sicherheitslücke Januscape hat 16 Jahre unentdeckt im Linux-Kernel geschlummert, bevor der Sicherheitsforscher Hyunwoo Kim sie öffentlich gemacht hat[1]. Der Fehler geht auf einen Commit vom 1. August 2010 zurück und wurde erst am 16. Juni 2026 geschlossen. In dieser Zeitspanne hätte ein Gast-System theoretisch den Kernel seines Wirts übernehmen können.

Das Wichtigste in Kürze

  • Ein Ausbruch für beide Lager: Januscape (CVE-2026-53359) gilt als erster dokumentierter KVM-Ausbruch, der auf Intel-Prozessoren (VMX) und AMD-Prozessoren (SVM) gleichermaßen funktioniert.
  • Use-after-free im Kern: Der Fehler sitzt in der Shadow-MMU-Emulation. Schon Aktionen aus dem Gast heraus reichen aus, um die Speicherverwaltung des Wirts zu beschädigen.
  • Reale Gefahr für Cloud-Mieter: Eine einzelne gemietete VM genügt, um den Host lahmzulegen oder mit Root-Rechten zu übernehmen und damit alle Nachbar-VMs.
  • Fix vorhanden: Der Patch liegt seit dem 16. Juni 2026 im Kernel. Entscheidend ist jetzt, ob die Hoster ihn wirklich eingespielt haben.

Wie bricht ein Gast aus der virtuellen Maschine aus?

Schloss „HOST“ mit Schlüsselkarte „GAST“ in Holztür; Türgriff hat runden Aufkleber
Januscape nutzt Use-after-free-Fehler in KVM-Shadow-MMU, um freigegebene Speicherseiten wiederzuverwenden und Kernel-Speicher des Wirts zu überschreiben

Januscape nutzt einen Use-after-free-Fehler in der Shadow-MMU von KVM: Ein Gast bringt den Wirt dazu, eine bereits freigegebene Speicherseite weiterzuverwenden, und überschreibt darüber dessen Kernel-Speicher.

Der Angriffspfad führt über die Speicherverwaltung. Im Normalbetrieb übersetzt die CPU die Gast-Adressen hardwarebeschleunigt. Sobald jedoch verschachtelte Virtualisierung im Spiel ist, wechselt KVM in den Shadow-Paging-Modus, und genau dort steckt der Fehler.

Eine freigegebene Speicherseite, die weiter benutzt wird, gehört zur gefährlichsten Fehlerklasse überhaupt. Der veröffentlichte Machbarkeitsnachweis löst einen Kernel-Fehler in der Funktion pte_list_remove aus und bringt den Wirt zum Absturz. Genau diese Speicherfehler wollen Projekte wie Fil-C von vornherein ausräumen.

Warum trifft das ausgerechnet Cloud-Anbieter?

Weil öffentliche Clouds fremde Gäste auf gemeinsamer Hardware betreiben: Ein Angreifer mietet eine Instanz, bricht aus und erreicht jede andere VM auf demselben Server. Genau diese Mandantentrennung ist das Ziel von Januscape.

Der Schaden reicht vom Totalausfall bis zur Komplettübernahme. Ein Absturz des Wirts-Kernels legt schlagartig alle Nachbar-VMs auf derselben Maschine lahm. Gelingt stattdessen die Code-Ausführung mit Root-Rechten, kontrolliert der Angreifer den Host und sämtliche Gäste darauf.

Januscape steht dabei nicht allein. Aus demselben Forschungsumfeld stammt ITScape für KVM auf ARM-Servern (CVE-2026-46316), und schon 2015 öffnete die VENOM-Lücke im QEMU-Diskettencontroller den Weg vom Gast zum Host. Auch die jüngste LUKS-Lücke im Linux-Kernel zeigt, wie lange Fehler im Fundament unentdeckt bleiben. Besonders heikel: Nach Angaben des Forschers hat Januscape bereits als Zero-Day im kvmCTF-Programm von Google funktioniert, ist also praktisch ausgenutzt worden.

Mandantentrennung ist kein Feature, das man einmal abhakt, sondern ein Versprechen, das mit jedem ungepatchten Kernel neu auf dem Spiel steht.

— Markus Seyfferth, Chefredakteur Dr. Web
CVE-2026-53359
Januscape: Der KVM-Ausbruch in Zahlen
Wie ein Gast-System die Grenze zum Wirts-Kernel durchbricht
16
Jahre unentdeckt
Im Kernel von 2010 bis 2026
2
Architekturen betroffen
Intel (VMX) und AMD (SVM)
1
gemietete VM genügt
Host und alle Nachbar-VMs in Gefahr
So läuft der Ausbruch
1
Shadow-Paging aktiv
Verschachtelte Virtualisierung zwingt KVM in den Shadow-MMU-Modus statt der Hardware-Adressumsetzung.
2
Use-after-free
Das Gast-System bringt den Wirt dazu, eine freigegebene Schatten-Speicherseite weiterzuverwenden.
3
Host kompromittiert
Kernel-Absturz oder Code-Ausführung mit Root-Rechten, samt Zugriff auf alle Gäste.
Von der Einführung bis zum Fix
01.08.2010
Fehler in den Kernel eingebaut
rund 16 Jahre offen
16.06.2026
Patch im Kernel verfügbar

Was deutsche Hoster und ihre Kunden jetzt tun sollten

Die wichtigste Maßnahme ist das Kernel-Update mit dem Fix vom 16. Juni 2026. Wo verschachtelte Virtualisierung nicht gebraucht wird, verkleinert das Abschalten die Angriffsfläche zusätzlich.

Für deutsche Anbieter ist das mehr als Routine. Managed-WordPress- und Cloud-Pakete laufen fast durchweg auf KVM- und QEMU-VMs, und unter der NIS2-Richtlinie tragen die Betreiber die Verantwortung für die Isolation ihrer Mandanten. Ein sauberes Threat Model für den Mittelstand deckt solche Ausbruchspfade ab. Selbst der Umstieg auf Container-Runtimes wie Podman 6.0 ersetzt kein Kernel-Update, weil auch Container den Kernel des Wirts teilen.

Konkret zu prüfen ist zweierlei: ob der eigene Hoster den Kernel-Patch eingespielt hat und ob das Monitoring plötzliche Kernel-Abstürze meldet. Zusätzlich lohnt die Frage, ob verschachtelte Virtualisierung im gebuchten Tarif überhaupt nötig ist. Bei einer Neubewertung des Anbieters helfen die Sicherheitsprofile im Webhosting-Vergleich.

Unterm Strich zählt Tempo. Die Lücke ist geschlossen, doch der Schutz greift erst, wenn der Patch auf jedem Wirtssystem liegt. Kunden sollten ihren Provider gezielt nach dem Einspieldatum fragen und sich nicht mit einem allgemeinen Sicherheitsversprechen zufriedengeben.

Quelle

[1] Hyunwoo Kim (V4bel): „Januscape: Guest-to-Host Escape in KVM/x86 [CVE-2026-53359]“

Mehr Newshunger?

4,5 19 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?