새 DirtyDecrypt 리눅스 루트 권한 상승 취약점, 익스플로잇 공개

출처: Bleeping Computer

최근 패치된 Linux 커널 rxgk 모듈의 로컬 권한 상승 취약점에 대한 개념 증명(POC) 익스플로잇이 등장했으며, 이를 통해 일부 Linux 시스템에서 루트 권한을 획득할 수 있습니다.

이 결함은 DirtyDecrypt(또는 DirtyCBC)라는 이름으로, 이번 달 초 V12 보안팀이 자동으로 발견하고 보고했습니다. 유지관리자는 이 취약점이 이미 메인라인 커널에 패치된 취약점과 중복된다고 밝혔습니다.

“우리는 2026년 5월 9일에 이를 발견하고 보고했지만, 유지관리자로부터 중복된 취약점이라는 통보를 받았습니다.” V12는 말했습니다. “rxgk_decrypt_skb에서 COW 가드가 누락된 rxgk 페이지 캐시 쓰기입니다. 자세한 내용은 poc.c를 참고하세요.”
— V12 저장소

공식 CVE ID는 아직 부여되지 않았지만, 내용은 CVE‑2026‑31635와 일치하며, 이 취약점은 2026년 4월 25일에 패치되었습니다.

개요

• 영향을 받는 구성 요소: rxgk 커널 모듈 (Andrew File System (AFS) 클라이언트와 네트워크 전송을 위한 RxGK 보안 지원)
• 필수 커널 설정: CONFIG_RXGK가 활성화돼 있어야 함
• 주요 영향을 받을 가능성이 높은 배포판: Fedora, Arch Linux, openSUSE Tumbleweed 등 최신 업스트림 커널을 추적하는 배포판
• 테스트된 플랫폼: Fedora 및 메인라인 Linux 커널

Fedora에서 수행한 DirtyDecrypt 익스플로잇 테스트 (Will Dormann)

익스플로잇 상세

이 취약점은 rxgk_decrypt_skb에서 복사‑온‑쓰기(COW) 가드가 누락돼 페이지 캐시에 임의로 쓰기를 할 수 있게 되면서, 악의적인 사용자가 커널 수준 권한을 획득할 수 있게 합니다. V12가 만든 개념 증명은 취약한 커널에서 루트 권한 상승을 시연합니다.

완화 방안

1. 커널을 최신 버전으로 업데이트합니다.
2. 즉시 패치할 수 없는 시스템의 경우, Dirty Frag 취약점에 적용된 완화 조치를 적용합니다(이 조치는 IPsec VPN 및 AFS 네트워크 파일 시스템도 비활성화합니다).

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; \
rmmod esp4 esp6 rxrpc 2>/dev/null; \
echo 3 > /proc/sys/vm/drop_caches; true"

관련 취약점

• Dirty Frag – 최근에 발견된 또 다른 루트 권한 상승 결함.
• Fragnesia – Linux 커널에서 루트 권한을 부여하는 취약점.
• Copy Fail – 실제 공격에 사용된 사례가 있는 취약점; CISA 권고문을 참고.
• Pack2TheRoot – PackageKit 데몬에 존재하던 오래된 권한 상승 문제.

참고 자료

• V12 개념 증명 저장소:
• CVE‑2026‑31635 상세 내용:
• CONFIG_RXGK 문서:
• RxGK 개요:
• Dirty Frag 기사:
• Fragnesia 기사:
• Copy Fail 악용 보고서:
• CISA 권고문 (2026년 5월 1일):
• Pack2TheRoot 패치 발표: