🗓️ Contexte
Article publié le 27 mars 2026 par Emir Beganović (Staff SRE chez Booking.com), en marge du KubeCon EU 2026. L’auteur dresse un panorama complet de l’écosystème microVM, des CVEs d’évasion de containers récentes, et de l’émergence des sandboxes pour agents IA.
🔐 Problème fondamental : les containers ne sont pas une frontière de sécurité
Les containers Linux (namespaces + cgroups) partagent le même noyau hôte. Toute exploitation du noyau (~40 millions de lignes de C, 450+ syscalls) permet une évasion vers l’hôte. La citation clé de Marina Moore (Edera) au KubeCon EU 2026 : “Containers are not a security boundary. They are a mechanism to control resource usage.”
🚨 CVEs d’évasion de containers (2024-2025)
Liste des vulnérabilités documentées permettant une évasion de container vers l’hôte :
- CVE-2024-21626 (Leaky Vessels) : évasion runc/buildkit, accès filesystem hôte
- CVE-2024-1753 : Buildah/Podman Build, montage de fichiers hôte
- CVE-2024-0132 : NVIDIA container toolkit, TOCTOU, accès filesystem hôte
- CVE-2025-9074 : Docker Desktop, élévation de privilèges
- CVE-2025-23266 (NVIDIAScape) : NVIDIA container toolkit, CVSS 9.0, 3 lignes de Dockerfile
- CVE-2025-31133 : runc, race condition sur masked path, bind-mount arbitraire
- CVE-2025-52565 : runc /dev/console, accès procfs avant activation des protections
- CVE-2025-38617 : use-after-free packet socket Linux, nécessite CAP_NET_RAW (obtainable via user namespaces)
⚙️ Architecture microVM vs. container
Les microVMs (ex: Firecracker, Cloud Hypervisor) utilisent la virtualisation matérielle (Intel VT-x / AMD-V via KVM) pour isoler un noyau invité complet. Boot en ~125ms, overhead <5 MiB. Une évasion de VM nécessite un CVE hyperviseur, valorisé 250 000 à 500 000 USD sur le marché des exploits (kvmCTF de Google : 250 000 USD pour un escape KVM).
🦀 Écosystème rust-vmm
Collaboration AWS, Intel, Google, Microsoft, Red Hat, Alibaba, Linaro sur des crates Rust partagées :
- kvm-ioctls, vm-memory, virtio-queue, vhost-user-backend, virtiofsd, etc.
- Consommateurs : Firecracker (AWS, ~83K lignes Rust), Cloud Hypervisor (Intel/Microsoft, ~106K lignes), crosvm (Google), libkrun (Red Hat), Dragonball Sandbox (Alibaba), OpenVMM (Microsoft)
🤖 Sandboxes pour agents IA
L’exécution de code arbitraire généré par des modèles IA (non auditable, non revu) a accéléré l’adoption des microVMs comme standard d’isolation. Plateformes mentionnées : E2B, SlicerVM, Vercel et d’autres.
📋 Type d’article
Analyse technique de fond (rétrospective + état de l’art), destinée aux équipes infrastructure et sécurité évaluant des solutions d’isolation pour workloads non fiables.
🧠 TTPs et IOCs détectés
TTP
- T1611 — Escape to Host (Privilege Escalation)
IOC
- CVEs :
CVE-2024-21626— NVD · CIRCL - CVEs :
CVE-2024-1753— NVD · CIRCL - CVEs :
CVE-2024-0132— NVD · CIRCL - CVEs :
CVE-2025-9074— NVD · CIRCL - CVEs :
CVE-2025-23266— NVD · CIRCL - CVEs :
CVE-2025-31133— NVD · CIRCL - CVEs :
CVE-2025-52565— NVD · CIRCL - CVEs :
CVE-2025-38617— NVD · CIRCL
🟡 Indice de vérification factuelle : 43/100 (moyenne)
- ⬜ emirb.github.io — source non référencée (0pts)
- ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
- ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 1 TTP(s) MITRE (8pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/5 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://emirb.github.io/blog/microvm-2026/