AI 요약
'Dirty Frag'는 김현우(@v4bel) 연구원이 최초로 발견하고 보고한 새로운 리눅스 로컬 권한 상승(LPE) 취약점 클래스로, Dirty Pipe와 Copy Fail의 특성을 확장한 형태입니다. 이 취약점은 xfrm-ESP(CVE-2026-43284)와 RxRPC(CVE-2026-43500) 프로토콜의 페이지 캐시 쓰기 결함을 결합하여 발생합니다. 타이밍에 의존하는 레이스 컨디션이 필요 없는 결정론적 논리 버그이기 때문에 익스플로잇 성공률이 매우 높으며, 실패 시에도 커널 패닉을 유발하지 않는 강력한 안정성을 지니고 있습니다. 취약점은 2017년 1월부터 커널 소스에 포함되어 약 9년 동안 유효했던 것으로 파악되며, 현재 엠바고가 깨진 상태에서 기술 세부 사항이 공개되었습니다. 주요 배포판 관리자들과 협의하에 PoC 코드가 공개되었으나, 아직 모든 취약점에 대한 패치가 전 배포판에 적용되지는 않은 상태입니다.
핵심 인사이트
- 취약점 체이닝: xfrm-ESP의 4바이트 STORE 프리미티브와 RxRPC의 결함을 결합하여 루트 권한을 획득합니다.
- 장기 노출 기간: xfrm-ESP 결함은 2017년 1월 17일부터, RxRPC 결함은 2023년 6월부터 존재하여 최대 9년의 유효 기간을 가집니다.
- 광범위한 영향: Ubuntu 24.04.4(6.17.0-23), RHEL 10.1(6.12.0-124), Fedora 44(6.19.14) 등 최신 엔터프라이즈 환경에서 취약점이 확인되었습니다.
- 보안 식별자 할당: xfrm-ESP 취약점은 CVE-2026-43284로 할당되어 패치되었으나, RxRPC는 CVE-2026-43500으로 예약 상태이며 아직 패치가 완결되지 않았습니다.
주요 디테일
- 기술적 특징: 결정론적(Deterministic) 논리 버그로 설계되어 타이밍 윈도우에 의존하지 않으므로 익스플로잇 안정성이 매우 뛰어납니다.
- 영향을 받는 커널 버전: xfrm-ESP는 커밋 cac2661c53f3부터, RxRPC는 커밋 2dc334f1a63a부터 현재 업스트림까지 범위에 포함됩니다.
- 임시 완화 조치: 취약한 모듈인
esp4,esp6,rxrpc를 비활성화하고echo 3 > /proc/sys/vm/drop_caches명령으로 오염된 페이지 캐시를 초기화해야 합니다. - 테스트 환경: AlmaLinux 10, openSUSE Tumbleweed, CentOS Stream 10 등 다양한 최신 배포판 커널 환경에서 루트 권한 탈취 성능이 검증되었습니다.
- 익스플로잇 후속 조치: 익스플로잇 실행 후 시스템 안정성을 위해 페이지 캐시를 강제로 삭제하거나 시스템을 재부팅할 것을 권고하고 있습니다.
향후 전망
- 패치 배포 가속화: 엠바고가 깨짐에 따라 각 리눅스 배포판 제작사들은 긴급 보안 패치(Backport)를 신속히 배포할 것으로 예상됩니다.
- 커널 네트워크 스택 재검토: xfrm 및 RxRPC와 같은 네트워크 관련 서브시스템의 페이지 캐시 처리 로직에 대한 대대적인 보안 감사가 뒤따를 가능성이 높습니다.
출처:hackernews