
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- 하나의 계정이 손상되면 Dirty Frag가 시스템을 노출할 수 있습니다.
- 아직은 어떤 패치도 가능한 모든 공격으로부터 사용자를 보호할 수 없습니다.
- 안전을 유지하려면 VPN을 포함한 여러 서비스를 차단해야 합니다.
Linux는 몇 주 동안 힘든 시간을 보냈습니다. 첫째, AI 연구자들이 Copy Fail 보안 허점을 발견했습니다. 이 경우 패치가 신속하게 제작되어 배포되었습니다. 새롭게 공개된 Dirty Frag라는 Linux 커널 결함은 운이 좋지 않았습니다. 이 결함 역시 AI의 도움으로 발견된 것으로 보이지만 패치는 아직 작업 중입니다.
또한: Linux는 보안 경각심을 불러일으키고 있습니다. 이것이 불가피한 이유는 무엇이며 걱정하지 않습니다.
5월 7일 이 문제를 공개한 보안 연구원 김현우 씨는 Dirty Frag를 이전에 세간의 이목을 끌었던 Linux 커널 결함인 2022년의 Dirty Pipe 및 Copy Fail과 동일한 버그 클래스의 확장이라고 설명합니다. 이러한 결함과 마찬가지로 Dirty Frag는 권한이 없는 사용자 공간에 액세스할 수 있는 메모리 페이지에 쓰는 커널 코드 경로를 이용하지만 다른 구조, 즉 sk_buff 네트워킹 버퍼의 조각 필드를 대상으로 합니다.
또한: Immutable Linux는 강력한 보안을 제공합니다. 최고의 5가지 옵션은 다음과 같습니다.
Kim은 4월 말에 Linux 커널 관리자에게 이 취약점에 대해 알렸습니다. 불행하게도 조정된 공개 및 패치 프로세스는 빠르게 중단되었습니다. 5월 7일, 배포판이 관련 Copy Fail 결함에 대한 수정 사항을 계속 제공하는 동안 관련 없는 제3자의 금수 조치가 해제된 후 xfrm-ESP 구성 요소에 대한 자세한 Dirty Frag 기술 정보 및 작동하는 개념 증명 익스플로잇이 온라인에 나타났습니다. 이제 우리 모두는 곤경에 빠졌습니다.
더티 프래그(Dirty Frag)란 무엇입니까?
Dirty Frag는 Linux 네트워킹 및 인증 스택의 논리 버그를 악용하여 커널 페이지 캐시의 데이터를 손상시켜 권한이 없는 계정이 루트로 에스컬레이션될 수 있도록 하는 로컬 권한 에스컬레이션 취약성 체인입니다.
이는 두 개의 별도 네트워킹 하위 시스템, 즉 CVE-2026-43284로 추적되는 IPsec 캡슐화 보안 페이로드(xfrm-ESP) 경로와 CVE-2026-43500으로 추적되는 RxRPC 인증 경로를 대상으로 작동합니다.
이러한 결함을 연결함으로써 공격자는 메모리에 있는 읽기 전용, 페이지 캐시 지원 시스템 파일을 수정한 다음 파일 시스템을 건드리지 않고도 높은 권한으로 실행되도록 트리거할 수 있습니다.
또한: 이 중요한 Linux 취약점은 수백만 대의 시스템을 위험에 빠뜨리고 있습니다. 시스템을 보호하는 방법
Dirty Frag는 암호화된 네트워킹 및 원격 파일 시스템 인증에 사용되는 커널 빠른 경로에서 “페이지 캐시 쓰기 기본 요소”를 활용합니다. 공격자는 대상을 신중하게 선택하여 실행 파일이나 구성 파일과 같이 메모리에 있는 표면적으로 읽기 전용 파일 조각을 덮어쓴 다음 수정된 파일을 루트로 실행하거나 다시 로드할 수 있습니다.
여기서부터는 무한하며 공격자는 원하는 것은 무엇이든 할 수 있습니다.
좋은 소식은(예, 일부 있습니다) 공격자가 일반적으로 Dirty Frag를 사용하여 확대하려면 SSH를 통한 권한 없는 셸, 웹 셸 또는 손상된 컨테이너와 같은 기존 발판이 필요하다는 것입니다.
반면, 근본적인 버그는 타이밍에 민감한 경쟁이 아닌 논리 오류이기 때문에 익스플로잇은 매우 안정적이며 실패할 때 커널 패닉을 일으키지 않습니다. 즉, 누군가가 침입할 때까지 Linux 시스템을 계속해서 공격할 수 있으며 사용자는 이에 대해 전혀 알 수 없습니다.
수비수들은 노출을 평가하기 위해 출격했습니다.
공격자가 이를 알아차리는 데는 오랜 시간이 걸리지 않았습니다. 공개 익스플로잇 코드는 보안 블로그, GitHub 리포지토리, 토론 포럼 전반에 빠르게 미러링되어 방어자들은 노출 여부를 평가하기 위해 안간힘을 썼습니다.
또한: 전국적인 Canvas 데이터 유출이 걱정되나요? 지금 이 6단계를 수행하세요.
Microsoft의 위협 인텔리전스 팀에 따르면 Dirty Frag는 이미 활동 중인 것으로 관찰되었습니다. 해커들은 이를 사용하여 Linux 시스템의 제한된 기반을 서버, 클라우드 워크로드 및 컨테이너 전체에 대한 완전한 루트 제어로 업그레이드하고 있습니다.
그렇다면 누가 위험에 처해 있나요?
유감스럽게도 Linux 배포판을 사용하는 거의 모든 사람이 해당됩니다. Dirty Frag는 베어 메탈 서버 및 엔터프라이즈 배포판부터 컨테이너 호스트 및 클라우드 인스턴스에 이르기까지 광범위한 Linux 환경에 영향을 미칩니다. 여기에는 Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, Fedora 및 openSUSE Tumbleweed의 현재 및 이전 릴리스가 포함됩니다.
Ubuntu의 모회사인 Canonical은 “임의의 타사 워크로드를 실행할 수 있는 컨테이너 배포에서 취약점으로 인해 호스트에 대한 로컬 권한 상승 외에도 컨테이너 탈출 시나리오가 추가로 촉진될 수 있습니다.”라고 경고했습니다. 이것이 궁극적인 클라우드 네이티브 컴퓨팅의 악몽입니다.
다행스럽게도 “컨테이너 이스케이프에 대한 개념 증명 익스플로잇은 아직 공개되지 않았습니다.”
지금까지. 우리가 아는 한. 우리는 바랍니다.
또한: 최고의 VPN 서비스: 전문가 테스트 및 권장
많은 분들이 어머니날을 축하하는 동안 Linux 커널 커뮤니티는 문제를 해결하는 데 주말을 보냈습니다. xfrm-ESP 구성 요소인 CVE-2026-43284는 공개 후 24시간도 채 되지 않은 5월 8일에 메인라인 커널의 업스트림 수정 사항을 받았습니다. 하지만 이제 해당 수정 사항을 지원되는 많은 안정적인 트리에 걸쳐 백포트해야 합니다.
CVE-2026-43500으로 추적되는 RxRPC 결함은 아직 평가 중입니다. 이 글을 쓰는 시점에는 업스트림 패치가 마무리되지 않았습니다. Linux 공급업체는 업스트림 변경 사항을 통합하면서 자체 권고 및 업데이트를 발행하고 있습니다.
즉시 해야 할 일
Linux 배포자, 클라우드 공급자 및 호스팅 공급자는 고객에게 최신 커널 패키지가 출시되면 업데이트할 것을 촉구하고 있습니다. 그들은 또한 관리자들에게 임시방편으로 esp4, esp6 및 rxrpc 모듈을 블랙리스트에 올릴 것을 촉구하고 있습니다. 그러나 그렇게 하면 IPsec VPN 또는 AFS 기반 작업 부하가 중단될 가능성이 있다는 점을 명심하십시오. 반면에 그렇게 하면 더 안전할 것입니다.
또한 Microsoft에 따르면 Edge가 비밀번호를 일반 텍스트로 저장하는 이유는 무엇입니까?
Debian 및 Ubuntu 관련 Linux 배포판
Canonical에서는 다음 단계를 제안합니다. 이는 Ubuntu 및 Mint와 같은 관련 Linux 배포판에서 작동합니다.
1단계. 모듈 차단
- /etc/modprobe.d/dirty-frag.conf 파일을 생성하여 모듈을 차단합니다.
- echo “esp4 /bin/false 설치” | sudo 티 /etc/modprobe.d/dirty-frag.conf
- echo “esp6 /bin/false 설치” | sudo tee -a /etc/modprobe.d/dirty-frag.conf
- echo “rxrpc /bin/false 설치” | sudo tee -a /etc/modprobe.d/dirty-frag.conf
- 초기 부팅 중에 모듈이 로드되지 않도록 initramfs 이미지를 다시 생성합니다.
- sudo 업데이트-initramfs -u -k 모두
2단계. 모듈 언로드
- 모듈이 이미 로드되어 있는 경우 모듈을 언로드합니다.
- sudo rmmod esp4 esp6 rxrpc 2>/dev/null
3단계. 모듈이 로드되지 않았는지 확인
- 모듈이 아직 로드되어 있는지 확인하세요.
- grep -qE ‘^(esp4|esp6|rxrpc) ‘ /proc/modules && echo “영향을 받는 모듈이 로드되었습니다.” || echo “영향을 받는 모듈은 로드되지 않습니다.”
- 이전 작업에서 모듈이 로드되지 않은 것으로 나타나면 추가 작업이 필요하지 않습니다. 그러나 응용 프로그램이 이미 모듈을 사용하고 있는 경우 모듈을 언로드하는 것이 불가능할 수 있습니다. 이러한 경우 시스템을 재부팅하면 차단이 시행되지만 애플리케이션에 영향을 미칩니다.
- sudo 재부팅
- 커널 업데이트가 제공되고 설치되면 완화 조치를 제거할 수 있습니다.
- sudo rm /etc/modprobe.d/dirty-frag.conf
- sudo 업데이트-initramfs -u -k 모두
또한: 최고의 모바일 바이러스 백신 소프트웨어: 전문가 테스트 및 검토
Red Hat 및 관련 Linux 배포판
Red Hat은 다음을 실행할 것을 제안합니다.
- printf ‘esp4 설치 /bin/false\nesp6 설치 /bin/false\nrxrpc 설치 /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf rmmod esp4 esp6 rxrpc 2>/dev/null; 진실
IPsec 및 AFS 기반 프로그램을 비활성화해야 하는 이 접근 방식은 CentOS, Rocky Linux, AlmaLinux 및 기타 RHEL 관련 Linux 배포판에서도 작동합니다.
또한: 나는 수십 년 동안 Windows를 사용해 왔지만 이제는 그것이 정말 ‘쉬운’지 확인하기 위해 Linux를 사용해 보았습니다. 그리고 한 가지 놀랐습니다.
SUSE Linux 수정 사항
SUSE는 IPsec 및 AFS에 대해 동일한 경고를 제공하는 유사한 솔루션을 제공합니다.
만들다:
/etc/modprobe.d/10-copyfail2-fix.conf 다음 줄을 사용하여 문제를 해결합니다.
- 블랙리스트 esp4
- 블랙리스트 esp6
- 블랙리스트 rxrpc
- esp4 /bin/false 설치
- esp6 /bin/false 설치
- rxrpc /bin/false 설치
세부 사항은 배포판마다 다르지만 임시 수정 사항은 항상 동일합니다. 커널 패치가 사용 가능하고 설치될 때까지 modprobe 구성 파일을 사용하여 잠재적으로 영향을 받는 프로그램을 비활성화합니다.
완료되면 긴급 수정 사항을 삭제하고 평소대로 업무를 재개할 수 있습니다.
또한: Google은 보안 군비 경쟁이 심화됨에 따라 AI 에이전트 사이버 포스에 320억 달러를 투자했습니다.
전체 커널 수정 사항이 광범위하게 배포되고 시스템이 재부팅될 때까지 가능한 한 빨리 시스템을 완화해야 합니다. 결국, 손상된 사용자 계정이 하나만 있어도 공격자는 Dirty Frag를 사용하여 인프라를 완전히 제어할 수 있습니다.
죄송하지만, 고쳐야 할 서버와 워크스테이션이 너무 많아서요.
공식 정보 바로가기