CISA, 'Copy Fail' Linux 취약점 공개 및 대응 촉구

미국 사이버보안 및 인프라 보안 기관 (CISA) 은 5 월 1 일 newly disclosed Linux 취약점인 'Copy Fail' 을 Known Exploited Vulnerabilities 카탈로그에 추가했습니다. 이 취약점은 CVE-2026-31431 으로 추적되며, 이미 active attacks 에서 사용되고 있으며, 영향을 받은 시스템 전체에 대한 빠른 패치 적용을 촉구했습니다.

이 취약점은 Linux kernel 의 'algif_aead' 암호화 인터페이스에 위치하며, 권한 없는 로컬 사용자가 root 에게 권한을 승급 (escalate privileges) 할 수 있게 합니다. 실제로는 공격자가 시스템에 제한된 접근만으로도 전체 관리자 통제권을 획득할 수 있음을 의미합니다.

Theori 의 보안 연구원들은 지난 주 이 취약점을 공개적으로 드러냈으며, 함께 발견한 내용과 작동하는 proof-of-concept exploit 을 발간했습니다. 팀에 따르면, 이 exploit 은 "100% reliable"이며, Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16 등 여러 주요 Linux 배포판에서 수정 없이 작동합니다. 이러한 포터빌리티는 공격자가 버그를 무기화하기 위해 접근 장벽을 낮추는 데 도움이 됩니다.

기술적 수준에서는, 이 버그가 공격자에게 kernel 의 page cache 로 제어된 데이터를 작성할 수 있게 하며, 이는 최종적으로 권한 승급을 가능하게 합니다. exploit 은 로컬 접근이 필요하지만, 여전히 표준 사용자 제한을 깨고 시스템 전체의 통제권을 획득할 수 있습니다.

위험을 더한 것은 Openwall oss-security mailing list 의 논의에서 이 취약점과 작동하는 exploit 을 기술적 세부 사항이 공개되기 전에 Linux distribution maintainers 와 사전 협상을 통해 공개되지 않았다는 것입니다. 일반적인 responsible disclosure 프로세스에서는, 공급업체가 기술적 세부 사항이 공개되기 전에 패치를 준비하고 배포할 수 있도록 사전 통보가 주어집니다.

이번 사례에서는, maintainers 는 그러한 heads-up 을 제공하지 않았음을 나타냈으며, 일부 배포판은 공개 시점에 해결책을 준비하지 못했습니다. 한 기여자는 오래된 long-term support kernel 브랜치가 backported patches 를 아직 받지 못했다고 언급하며, 개발자들이 영향을 받은 암호화 모듈을 비활성화하는 임시 완화 조치를 의존해야 한다고 했습니다.

결과는 방어자가 업데이트를 배포하기 위해 scramble 해야 하는 반면, 공격자가 즉시 공개적으로 이용 가능한 exploit code 를 활용하는 압축된 response window 입니다.

이 역동성은 CISA 가 exploited vulnerabilities list 에 취약점을 unusually swift 으로 추가한 것을 반영하며, 이 문제가 심각한 즉각적인 위험을 제기함을 신호합니다. CISA 는 Binding Operational Directive 22-01 에 따라 미국 연방 기관들에게 패치를 적용할 수 있도록 2 주를 부여했습니다.

Linux vendors 는 이 취약점을 해결하기 위해 kernel updates 를 배포하기 시작했습니다. 그러나 exploit code 가 이미 wild 에서 존재하므로, 오래되거나 unpatched 시스템을 실행하는 사용자는 수정이 적용될 때까지 여전히 위험에 노출될 수 있습니다.

Google News 에서 Tom's Hardware 를 팔로우하거나, 우리 최신 뉴스, 분석 및 리뷰를 feeds 에 추가하세요.

Etiido Uko 는 문서화 및 보고 분야에서 9 년 이상의 경험을 가진 엔지니어이자 기술 작가입니다. 그는 기가젯, 기술, 엔지니어링에 대해 깊이 열정을 가지고 있습니다.