리눅스 커널 XFRM 하위 시스템 로직 오류 악용한 신규 취약점
레이스 컨디션 없이 읽기 전용 데이터 조작, 루트(Root) 권한 탈취
[보안뉴스 김형근 기자] 리눅스 커널에서 일반 사용자가 관리자 최고 권한을 무단 장악할 수 있는 치명적 보안 결함이 발견됐다.
[출처: AlmaLinux OS Foundation]
보안 기업 위즈(Wiz)는 최근 리눅스 커널에서 발견된 고위험 취약점 ‘더티 프래그’(Dirty Frag)의 새 변종 ‘프래그네시아’(Fragnesia) 취약점(CVE-2026-46300)을 발견했다고 밝혔다. 이 결함은 리눅스 커널 XFRM ESP-in-TCP 하위 시스템 내부의 치명적 로직 오류 때문인 것으로 분석됐다.
이 취약점은 해킹 공격의 난이도는 낮으면서도 파괴력은 크다. 위즈 연구진에 따르면, 시스템 관리자 권한이 없는 일반 사용자라도 이 취약점을 악용하면 메모리에 있는 읽기 전용 데이터를 임의로 조작할 수 있다.
공격자들은 타이밍을 맞추기 까다로운 레이스 컨디션(Race condition) 기법을 사용하지 않고도 임의의 바이트를 페이지 캐시에 직접 기록해 ‘/usr/bin/su’와 같은 핵심 바이너리 파일을 오염시킬 수 있는 것으로 드러났다. 이는 기존 모든 계정 기반 보안 통제를 우회해 시스템 전체 통제권을 공격자에게 넘겨주는 결과를 초래한다.
현재 이 결함은 데비안, 레드햇, 우분투 등 세계 기업들이 주력으로 사용하는 주요 리눅스 배포판 대부분에 영향을 미치고 있다. 보안 패치가 긴급 배포된 상태지만, 즉각 패치 적용이 불가능한 기업의 경우 ESP4 및 ESP6 기능을 선제적으로 비활성화하는 임시 조치가 필요하다.
위즈는 비특권 사용자 네임스페이스에 대한 앱아머(AppArmor) 제한 정책이 일부 방어에 도움이 될 수는 있으나, 근본적이고 완전한 해결책은 아니라며 시스템 관리자들의 신속한 대응을 촉구했다.
최근 2주 사이 이와 유사한 커널 취약점이 3건이나 연속으로 발견되며 다크웹에선 이를 수익화하려는 움직임이 나타났다. 위협 정보 기관들의 추적 결과, ‘berz0k’이란 인물은 시스템 충돌을 일으키지 않고 은밀하고 안정적으로 권한 상승(LPE)을 보장한다는 리눅스 제로데이 익스플로잇을 17만달러에 판매하고 있는 정황도 포착됐다.
실제 해킹 피해 사례가 대규모로 속출하기 전에 즉시 취약점 업데이트 도구를 가동하고, 시스템 보안 상태를 정밀하게 점검해야 한다고 보안 전문가들은 권고했다.
[김형근 기자(editor@boannews.com)]
레이스 컨디션 없이 읽기 전용 데이터 조작, 루트(Root) 권한 탈취
[보안뉴스 김형근 기자] 리눅스 커널에서 일반 사용자가 관리자 최고 권한을 무단 장악할 수 있는 치명적 보안 결함이 발견됐다.
[출처: AlmaLinux OS Foundation]
보안 기업 위즈(Wiz)는 최근 리눅스 커널에서 발견된 고위험 취약점 ‘더티 프래그’(Dirty Frag)의 새 변종 ‘프래그네시아’(Fragnesia) 취약점(CVE-2026-46300)을 발견했다고 밝혔다. 이 결함은 리눅스 커널 XFRM ESP-in-TCP 하위 시스템 내부의 치명적 로직 오류 때문인 것으로 분석됐다.
이 취약점은 해킹 공격의 난이도는 낮으면서도 파괴력은 크다. 위즈 연구진에 따르면, 시스템 관리자 권한이 없는 일반 사용자라도 이 취약점을 악용하면 메모리에 있는 읽기 전용 데이터를 임의로 조작할 수 있다.
공격자들은 타이밍을 맞추기 까다로운 레이스 컨디션(Race condition) 기법을 사용하지 않고도 임의의 바이트를 페이지 캐시에 직접 기록해 ‘/usr/bin/su’와 같은 핵심 바이너리 파일을 오염시킬 수 있는 것으로 드러났다. 이는 기존 모든 계정 기반 보안 통제를 우회해 시스템 전체 통제권을 공격자에게 넘겨주는 결과를 초래한다.
현재 이 결함은 데비안, 레드햇, 우분투 등 세계 기업들이 주력으로 사용하는 주요 리눅스 배포판 대부분에 영향을 미치고 있다. 보안 패치가 긴급 배포된 상태지만, 즉각 패치 적용이 불가능한 기업의 경우 ESP4 및 ESP6 기능을 선제적으로 비활성화하는 임시 조치가 필요하다.
위즈는 비특권 사용자 네임스페이스에 대한 앱아머(AppArmor) 제한 정책이 일부 방어에 도움이 될 수는 있으나, 근본적이고 완전한 해결책은 아니라며 시스템 관리자들의 신속한 대응을 촉구했다.
최근 2주 사이 이와 유사한 커널 취약점이 3건이나 연속으로 발견되며 다크웹에선 이를 수익화하려는 움직임이 나타났다. 위협 정보 기관들의 추적 결과, ‘berz0k’이란 인물은 시스템 충돌을 일으키지 않고 은밀하고 안정적으로 권한 상승(LPE)을 보장한다는 리눅스 제로데이 익스플로잇을 17만달러에 판매하고 있는 정황도 포착됐다.
실제 해킹 피해 사례가 대규모로 속출하기 전에 즉시 취약점 업데이트 도구를 가동하고, 시스템 보안 상태를 정밀하게 점검해야 한다고 보안 전문가들은 권고했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
