리눅스 커널 결함, 일반 사용자가 루트 전용 파일에 접근하고 루트 권한으로 임의 명령 실행 가능

출처: Slashdot

Qualys의 위협 연구팀(TRU)은 리눅스 커널에 논리적 결함을 발견하고 공개했으며, 이는 “특권이 없는 로컬 사용자가 여러 주요 배포판의 기본 설치에서 민감한 파일을 열람하고 루트 권한으로 임의의 명령을 실행할 수 있게 한다.”라고 설명한다. 금요일에 그들의 블로그는 “이 버그는 2016년 11월(v4.10‑rc1)부터 메인라인 리눅스에 존재해 왔다”고 지적했다.

“업스트림 패치와 배포판 업데이트가 이미 제공되고 있다.”

작동하는 익스플로잇이 공개적으로 유포되고 있으며, 관리자는 공급업체의 커널 업데이트를 지체 없이 적용해야 한다. 리눅스 커널 권한 경계에 대한 지속적인 연구 중에 TRU는 특권 프로세스가 자격 증명을 포기하는 순간, dumpable 플래그가 해당 경로를 차단했음에도 불구하고 ptrace 계열 연산을 통해 여전히 접근할 수 있는 좁은 윈도우를 발견했다. 이 윈도우를 v5.6‑rc1(2020년 1월)에서 추가된 pidfd_getfd() 시스템 콜과 결합하면, 공격자는 곧 사라지는 특권 프로세스의 열린 파일 디스크립터와 인증된 프로세스 간 채널을 가로채어 자신의 UID 아래에서 재사용할 수 있다. 이 기법은 신뢰성이 높으며, 로컬 쉘을 루트 권한이나 민감한 인증 자료(예: /etc/ssh 아래의 호스트 개인 키)로 연결되는 경로로 전환한다.

CVE‑2026‑46333은 로컬 전용이지만 영향은 심각하다… 취약한 호스트에서 특권이 없는 쉘 하나만 있으면 /etc/shadow를 읽고, SSH 호스트 개인 키를 탈취하거나, systemd에 대한 가로채진 dbus 연결을 통해 루트 권한으로 임의의 명령을 실행할 수 있다. 실제로 특권이 없는 발판과 전체 호스트 장악 사이의 구분은 무너지며, 피싱된 개발자 계정, 제한된 CI 러너, 저권한 서비스 계정, 혹은 공유 멀티테넌트 호스트 모두가 직접적인 루트 경로가 된다. 취약한 코드가 v4.10‑rc1(2016년 11월)부터 메인라인 커널에 포함되어 왔기 때문에, 이 노출은 기업 환경, 클라우드 이미지, 컨테이너 호스트에 걸쳐 9년 동안 지속되어 왔다.

Qualys는 처음부터 책임 있는 공개 절차를 따랐다. Qualys는 2026‑05‑11에 취약성을 업스트림 리눅스 커널 보안 담당자에게 비공개로 보고했으며, 이후 3일 동안 커널 보안 팀이 패치를 개발·검토하고 CVE‑2026‑46333을 할당했으며, 2026‑05‑14에 패치를 공개 커밋했다. 그 후 우리는 하위 배포 조정을 위한 표준 사전 공개 채널인 linux‑distros 메일링 리스트에 참여했다. 잠시 뒤, 공개 커밋을 기반으로 한 독립적인 익스플로잇이 등장했다… Qualys는 이번 기술이 새롭고, 현재 공개된 정보가 불완전하고 고르지 않으며, 독립 연구자들이 이미 로컬 루트를 획득하고 익스플로잇 자료를 공개한 상황에서 전체 advisory를 오늘 공개한다. 이를 통해 방어자, 탐지 엔지니어, 하위 유지관리자는 결함, do_exit()와의 경쟁, pidfd_getfd()의 역할, 그리고 네 가지 익스플로잇 사례에 대한 단일 권위 있는 참고 자료를 얻을 수 있다.

이 이야기에 대한 자세한 내용은 Slashdot에서 확인하세요.