수년 만에 표면에 드러난 가장 심각한 Linux 위협, 전 세계를 당황하게 하다

Source: Ars Technica

Overview

실질적으로 패치되지 않은 취약점에 대한 공개된 익스플로잇 코드가 루트 접근 권한을 거의 모든 리눅스 릴리스에 제공하면서, 방어자들이 데이터 센터와 개인 장치 내 심각한 침해를 막기 위해 급히 움직이고 있습니다.

취약점과 이를 이용한 익스플로잇 코드는 보안 업체 Theori의 연구원들이 수요일 저녁에 공개했으며, 이는 사전에 리눅스 커널 보안 팀에 비공개로 알린 지 5주 후의 일입니다. 팀은 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204, 5.10.254 버전에서 취약점을 패치했지만(아래 첫 세 패치에 대한 커밋 링크 참고), 익스플로잇이 공개될 당시에는 대부분의 리눅스 배포판이 해당 수정을 적용하지 않은 상태였습니다.

• 7.0: https://github.com/torvalds/linux/commit/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5
• 6.19.12: https://git.kernel.org/stable/c/ce42ee423e58dffa5ec03524054c9d8bfd4f6237
• 6.18.12: https://git.kernel.org/stable/c/fafe0fa2995a0f7073c1c358d7d3145bcc9aedd8

A single script hacks all distros

중대한 결함은 CVE-2026-31431 로 추적되며 CopyFail 라는 이름이 붙었습니다. 이는 로컬 권한 상승(local privilege escalation) 취약점으로, 일반 사용자가 관리자 권한으로 상승할 수 있게 합니다. CopyFail은 특히 심각한데, 이는 수요일에 공개된 하나의 익스플로잇 코드만으로도 수정되지 않은 모든 배포판에서 별도의 수정 없이 동작하기 때문입니다. 이를 통해 공격자는 다중 테넌트 시스템을 해킹하고, 쿠버네티스(Kubernetes) 등 기반 프레임워크의 컨테이너를 탈출하며, 악성 풀 리퀘스트를 만들어 CI/CD 워크플로우를 통해 익스플로잇 코드를 전파할 수 있습니다.

“‘Local privilege escalation’ sounds dry, so let me unpack it,” researcher Jorijn Schrijvershof wrote Thursday. “It means: an attacker who already has some way to run code on the machine, even as the most boring unprivileged user, can promote themselves to root. From there they can read every file, install backdoors, watch every process, and pivot to other systems.”

Schrijvershof는 Theori가 공개한 동일한 파이썬 스크립트가 Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6, 그리고 Debian 12에서 신뢰성 있게 동작한다며, 연구원은 다음과 같이 덧붙였습니다: