메뉴
BL
Ars Technica 19일 전

리눅스, 2주 연속 심각한 커널 취약점 발견

IMP
9/10
핵심 요약

최근 2주 연속으로 리눅스 커널의 심각한 권한 상승 취약점이 발견되어 보안 담당자들의 비상이 걸렸습니다. 이번에 공개된 'Dirty Frag' 취약점은 비특권 사용자가 서버의 루트(root) 권한을 획득할 수 있게 만들며, 익스플로잇 코드가 이미 온라인에 유출되어 현장에서 실험적인 공격 시도가 포착되고 있습니다. 시스템 관리자는 해당 취약점(CVE-2026-43284 및 CVE-2026-43500)에 대한 패치를 즉시 적용하고, 공유 서버 환경 등에서 추가적인 완화 조치를 취해야 합니다.

번역된 본문

텍스트 설정 스토리 텍스트 크기 작게 표준 크게 너비 * 표준 넓게 링크 표준 주황색 * 구독자 전용 자세히 알아보기 탐색창으로 최소화

리눅스 사용자들이 또 다른 취약점의 표적이 되었습니다. 이 취약점은 컨테이너와 신뢰할 수 없는 사용자에게 루트(root) 접근 권한을 부여하는 것으로, 불과 2주 만에 두 번째로 심각한 위협이 보안 담당자들을 긴장하게 만들었습니다. '더티 프래그(Dirty Frag)'로 알려진 이 위협은 가상 머신을 사용하는 사용자를 포함한 저권한 사용자가 서버의 루트 제어권을 획득할 수 있게 합니다. 이 공격은 여러 당사자가 서버를 공유하는 환경에서 특히 적합합니다. 해커들은 기계에 대한 발판을 마련해 주는 별도의 익스플로잇에 접근할 수 있다면 누구나 루트 권한을 얻을 수 있습니다. 익스플로잇 코드는 3일 전 온라인에 유출되었으며, 거의 모든 리눅스 배포판에서 안정적으로 작동합니다. 마이크로소프트는 해커들이 실제 환경(wild)에서 더티 프래그를 실험하고 있는 징후를 포착했다고 밝혔습니다.

즉각적이고 중대한 위협 유출된 익스플로잇은 결정론적(deterministic)입니다. 즉, 실행할 때마다, 그리고 다양한 리눅스 배포판에서 정확히 동일한 방식으로 작동합니다. 또한 충돌을 일으키지 않아 은밀하게 실행될 수 있습니다. 지난주 최종 사용자를 위한 패치 없이 공개된 '카피 페일(Copy Fail)'이라는 취약점도 동일한 특성을 가지고 있습니다.

보안 기업 Aviatrix의 연구원들은 월요일에 다음과 같이 작성했습니다. "'더티 프래그' 취약점은 패치되지 않은 커널 결함을 악용하여 승인되지 않은 사용자가 루트 액세스 권한을 얻을 수 있게 하므로 리눅스 시스템에 즉각적이고 중대한 위협을 제기합니다. 개념 증명(PoC) 익스플로잇이 공개적으로 사용 가능하고 제한적인 실제 환경에서의 악용 징후가 나타남에 따라, 조직은 시스템을 잠재적인 침해로부터 보호하기 위해 패치를 적용하고 완화 조치를 구현하기 위해 신속하게 행동해야 합니다."

더티 프래그는 지난주 후반에 연구원 김현우(Kim Hyunwoo)에 의해 발견되어 공개되었습니다. 이 익스플로잇은 CVE-2026-43284 및 CVE-2026-43500으로 추적되는 두 가지 취약점을 악용하기 위한 코드를 엮어(chains together) 사용합니다. 이 취약점이 공개된 직후, 다른 누군가가 핵심 세부 정보를 유출하여 사실상 이 취약점이 제로데이(Zero-day) 상태가 되었습니다. 이에 따라 김현우 연구원은 자신이 개발한 개념 증명 익스플로잇의 소스 코드를 공개했습니다. 두 취약점 모두 리눅스 커널에서 패치되었지만, 당시 어떤 배포판도 이 수정 사항을 반영하지 않았습니다. 이 기사가 게재되는 시점에서 여러 배포판이 패치를 릴리스했습니다. 패치가 공개된 알려진 배포판으로는 데비안(Debian), 알마리눅스(AlmaLinux), 페도라(Fedora)가 있습니다. 다른 배포판을 사용하는 사용자는 공식 제공자에게 확인해야 합니다.

두 권한 상승 취약점은 모두 메모리에 저장된 페이지 캐시를 처리하는 커널의 버그에서 비롯되어 신뢰할 수 없는 사용자가 이를 수정할 수 있게 합니다. 이들은 네트워킹 및 메모리 단편화(memory-fragment) 처리 구성 요소의 캐시를 대상으로 합니다. 구체적으로 CVE-2026-43284는 esp4 및 esp6 프로세스를 공격하고, CVE-2026-43500은 rxrpc를 표적으로 삼습니다. 지난주의 카피 페일(CopyFail)은 IPsec 확장 시퀀스 번호에 사용되는 authencesn AEAD 템플릿 프로세스의 결함 있는 페이지 캐싱을 악용했습니다. 2022년에 발견된 '더티 파이프(Dirty Pipe)' 역시 공격자가 페이지 캐시를 덮어쓸 수 있게 허용하는 결함에서 비롯되었습니다.

보안 기업 Automox의 연구원들은 다음과 같이 설명했습니다: "더티 프래그는 더티 파이프 및 카피 페일과 동일한 버그 패밀리에 속하지만, pipe_buffer 대신 커널의 struct sk_buff에 있는 frag 멤버를 대상으로 합니다. 이 익스플로잇은 splice()를 사용하여 읽기 전용 페이지 캐시 페이지(예: /etc/passwd 또는 /usr/bin/su)에 대한 참조를 발신자 측 skb의 frag 슬롯에 심습니다. 그런 다음 수신자 측 커널 코드는 해당 frag에 대해 내부 암호화 작업을 수행하여 RAM의 페이지 캐시를 수정합니다. 공격자가 읽기 권한만 가지고 있었더라도 이후 파일을 읽을 때마다 항상 변조된 버전이 표시됩니다."

"CVE-2026-43284는 IPsec ESP 수신 경로의 esp_input() 프로세스에서 발견됩니다. skb 객체가 비선형적이지만 frag 목록이 없는 경우 코드는 skb_cow_data()를 건너뛰고 심어진 frag에서 AEAD를 그 자리에서 복호화합니다. 거기서부터 공격자는 파일 오프셋과 각 저장의 4바이트 값을 제어할 수 있습니다. CVE-2026-43500은..."

원문 보기
원문 보기 (영어)
Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Linux users have been bitten by yet another vulnerability that gives containers and untrusted users the ability to gain root access, marking the second time in as many weeks that a severe threat has caught defenders off guard. The threat, known as Dirty Frag, allows low-privilege users, including those using virtual machines, to gain root control of servers. Attacks are particularly suitable in shared environments, where a server is used by multiple parties. Hackers can also gain root as long as they have access to a separate exploit that gives a toehold into a machine. Exploit code was leaked online three days ago and works reliably across virtually all Linux distributions. Microsoft has said it has spotted signs that hackers are experimenting with Dirty Frag in the wild. Immediate and significant threat The leaked exploit is deterministic, meaning it works precisely the same way each time it’s run and across different Linux distributions. It causes no crashes, making it stealthy to run. A vulnerability known as Copy Fail, disclosed last week with no patches available to end users, possesses the same characteristics. “The ‘Dirty Frag’ vulnerability presents an immediate and significant threat to Linux systems, as it allows unauthorized users to gain root access by exploiting unpatched kernel flaws,” researchers from security firm Aviatrix wrote Monday . “With proof-of-concept exploits publicly available and signs of limited in-the-wild exploitation, organizations must act swiftly to apply patches and implement mitigations to protect their systems from potential compromise.” Dirty Frag was discovered and disclosed late last week by researcher Hyunwoo Kim. The exploit chains together code for exploiting two vulnerabilities—tracked as CVE-2026-43284 and CVE-2026-43500. Shortly after the disclosure, someone else leaked key details, effectively making the vulnerability a zero-day. With that, Kim published the source code for the proof-of-concept exploit he had developed. While both vulnerabilities were patched in the Linux kernel, none of the distributions had incorporated the fix. At the time this post went live, several distributors had released patches. Known distributors included Debian , AlmaLinux , and Fedora . People who are interested in other distributions should check with the official provider. Both privilege escalation vulnerabilities stem from bugs in the kernel’s handling of page caches stored in memory, allowing untrusted users to modify them. They target caches in networking and memory-fragment handling components. Specifically, CVE-2026-43284 attacks the esp4 and esp6 () processes, and CVE-2026-43500 zeroes in on rxrpc. Last week’s CopyFail exploited faulty page caching in the authencesn AEAD template process, which is used for IPsec extended sequence numbers. A 2022 vulnerability named Dirty Pipe also stemmed from flaws that allow attackers to overwrite page caches. Researchers from security firm Automox wrote : Dirty Frag belongs to the same bug family as Dirty Pipe and Copy Fail, but it targets the frag member of the kernel’s struct sk_buff rather than pipe_buffer . The exploit uses splice() to plant a reference to a read-only page-cache page (for example, /etc/passwd or /usr/bin/su ) into the frag slot of a sender-side skb . Receiver-side kernel code then performs in-place cryptographic operations on that frag, modifying the page cache in RAM. Every subsequent read of the file sees the corrupted version, even though the attacker only ever had read access. CVE-2026-43284 is found in the esp_input() process on the IPsec ESP receive path. When an skb object is non-linear but lacks a frag list, the code skips skb_cow_data() and decrypts AEAD in place on the planted frag. From there, an attacker can control the file offset and the 4-byte value of each store. CVE-2026-43500, meanwhile, resides in rxkad_verify_packet_1(). The process decrypts RxRPC payloads using a single-block process. Splice-pinned pages become both a source and destination. That, paired with the decryption key being freely extracted using the add_key (rxrpc), allows an attacker to rewrite contents in memory. Either exploit used separately is unreliable. Some Ubuntu configurations use AppArmor to prevent untrusted users from creating namespace contents. That, in turn, neutralizes the ESP technique. Most other distributions by default don’t run rxrpc.ko, which neutralizes the RxRPC arm. When chained together, however, the two exploits allow attackers to obtain root on every major distribution Kim tested. Once the exploits run, attackers can use SSH access, web-shell execution, container escapes, or compromise low-privilege accounts. “Dirty Frag is notable because it introduces multiple kernel attack paths involving rxrpc and esp/xfrm networking components to improve exploitation reliability,” Microsoft researchers wrote . “Rather than relying on narrow timing windows or unstable corruption conditions often associated with Linux local privilege escalation exploits, Dirty Frag appears designed to increase consistency across vulnerable environments.” Researchers at Google-owned Wiz said exploits will be less likely to break out of hardened containerized environments such as Kubernets with default security settings in place. “However, the risk remains significant for virtual machines or less restricted environments.” The best response for anyone using Linux is to install patches immediately. While fixes likely require a reboot, protection from a threat as severe as Dirty Frag outweighs the cost of disruptions. Anyone who can’t install immediately should follow the mitigation steps laid out in the posts linked above. Additional guidance can be found here . Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 10 Comments
리눅스 보안 커널 취약점 제로데이 권한 상승 보안 패치