Microsoft와 미국 사이버보안 및 인프라 보안국(CISA)은 최근 Linux 커널의 새로운 보안 취약점에 대해 경고를 발표했습니다. 이 문제는 Ubuntu, Red Hat, SUSE, Debian, Fedora, Arch Linux 및 Amazon(AWS) Linux를 포함한 다수의 주류 배포판에 영향을 미칠 수 있으며 관련 장치 수는 수백만 개일 수 있습니다.
이 취약점의 번호는 CVE-2026-31431이며 CVSS 점수는 7.8입니다. 이는 CISA의 "알려진 악용 취약점" 디렉토리에 나열되어 있으며, 이는 악의적인 공격자의 일반적인 공격 벡터로 간주되어 연방 기관과 광범위한 기업 환경에 심각한 위험을 초래합니다.
CISA는 권고에서 이것이 "리눅스 커널이 서로 다른 보안 도메인 간에 리소스를 잘못 전송하는" 취약점이라고 지적했습니다. 악용될 경우 로컬 권한이 루트 수준으로 상승될 수 있습니다. 이러한 유형의 로컬 권한 에스컬레이션은 공격자가 시스템에 대한 초기 액세스 권한을 얻으면 추가로 격리를 위반하고 전체 노드를 제어할 수 있는 기회가 있기 때문에 이러한 배포를 기반으로 하는 심하게 컨테이너화된 다중 테넌트 워크로드 환경에서 특히 위험합니다.
Red Hat은 이 문제에 대한 보다 자세한 기술 설명을 제공하기 위해 지난달 보안 권고를 발표했습니다. 발표에 따르면 취약점은 Linux 커널의 algif_aead 암호화 알고리즘 인터페이스에 나타납니다. 잘못된 "내부 작업" 구현으로 인해 소스 데이터와 대상 데이터의 메모리 매핑이 일치하지 않습니다. 결과적으로 암호화 작업 중에 예상치 못한 동작이나 데이터 무결성 문제가 발생할 수 있으며, 이로 인해 암호화된 통신의 신뢰성에 영향을 미칠 수 있습니다.
Microsoft 보안 연구원들은 커널 암호화 하위 시스템의 논리 결함을 추가로 추적하고 문제가 2017년에 도입된 AF_ALG 프레임워크에서 algif_aead 모듈의 최적화에 초점을 맞추고 있음을 지적했습니다. 당시 "내부 최적화"로 인해 커널은 특정 암호화 작업을 수행할 때 소스 메모리를 대상 버퍼로 잘못 재사용했습니다. 공격자는 AF_ALG 소켓 인터페이스와 splice() 시스템 호출 간의 상호 작용을 이용하여 커널 페이지 캐시에서 제어된 4바이트 쓰기를 달성함으로써 중요한 데이터 구조를 정확하게 변조할 수 있습니다.
연구원들은 이 공격 프로세스가 Python 스크립트를 통해 구현될 수 있으며 실행 시 루트 권한으로 직접 실행될 수 있도록 /usr/bin/su와 같은 높은 권한의 바이너리 파일에 대해 수정될 수 있다고 밝혔습니다. 경쟁 조건에 의존하는 많은 커널 공격과 달리, 이 취약점의 공격은 타이밍 경쟁에 의존하지 않으며 약 732바이트의 작은 스크립트를 통해 결정론적인 방식으로 안정적으로 재현될 수 있습니다. 이 취약점은 거의 수정하지 않고도 다양한 주요 배포판에서 성공적으로 악용될 수 있기 때문에 "매우 안정적인" 권한 상승 수단으로 간주됩니다.
클라우드 컴퓨팅 환경에서는 이 기능으로 인한 위험이 더욱 확대됩니다. 많은 컨테이너가 동일한 호스트 커널을 공유합니다. 이 취약점이 기본 커널 버전에 존재하면 단일 컨테이너의 위반이 전체 노드로 확산되어 완전히 장악될 수 있습니다. 마이크로소프트는 공격자가 처음에는 SSH를 통해 권한이 낮은 사용자로 로그인하거나 CI/CD 파이프라인에서 실행 기회를 얻는 등 제한된 액세스 권한만 갖고 있더라도 이 취약점은 루트 권한으로 상승하고, 컨테이너 경계를 위반하고, 측면 이동을 활성화하고, 멀티 테넌트 환경에서 다른 워크로드를 감염시키기에 충분할 수 있다고 경고합니다.
현재 공개적으로 관찰되는 활용 활동은 주로 개념 증명(PoC) 단계에 있으며 대규모로 무기화되거나 확산되지는 않았습니다. 그럼에도 불구하고 Microsoft는 모든 유형의 조직이 잠재적인 악용 시도와 손상된 시스템을 식별할 수 있도록 Microsoft Defender XDR을 통해 탐지 서명을 출시했습니다. 또한 Microsoft는 위험을 근본적으로 제거하기 위해 각 릴리스에서 해당 패치를 제공한 후 가능한 한 빨리 커널 업데이트를 완료할 것을 보안 팀에 촉구합니다.
패치가 완전히 적용될 때까지 Microsoft는 영향을 받는 관련 암호화 기능을 일시적으로 비활성화하거나 AF_ALG 소켓 생성을 방지하여 공격 표면 노출을 줄이는 등 일련의 완화 조치를 취할 것을 권장합니다. 또한 시스템에서 임의 코드를 실행할 수 있는 계정의 범위를 제한하기 위해 접근 제어 정책을 강화해야 하며, 단일 지점 손상 이후 내부 환경에서 측면 확산 가능성을 줄이기 위해 네트워크 격리를 사용해야 합니다. 의심스러운 징후가 있는 노드의 경우 로그 감사 및 동작 감지와 함께 신속한 복구 및 재구성도 장기적인 위험을 줄이기 위한 중요한 수단입니다.
