732바이트 PoC로 모든 리눅스 시스템을 장악하는 치명적 취약점 공개!

공개된 PoC는 AF_ALG(Address Family Algorithm)를 악용하여 커널 메모리 영역에 접근한다. 특히, splice() 시스템 콜을 통해 4바이트의 페이지 캐시(Page Cache)를 변조하는 방식으로 권한 상승을 수행한다. 이 취약점은 race condition이나 커널 오프셋(Kernel Offset) 없이, 단일 로직 오류만으로 모든 리눅스 배포판에서 작동한다는 점에서 심각성을 더한다. PoC는 /usr/bin/su 바이너리를 대상으로 하며, setuid 권한을 획득하여 root 권한을 얻는다.

취약점 공개 시점과 패치 배포 간의 시간 차이로 인해, 커뮤니티에서는 책임 있는 공개(Responsible Disclosure) 여부에 대한 논쟁이 발생했다. 특히, Xint Code 측에서 '대부분의 주요 배포판에서 패치가 배포되었다'고 주장했지만, 실제로는 Debian stable, RedHat 등에서 패치가 제공되지 않아 정보의 불일치로 인한 혼란이 발생했다. 이는 보안 취약점 공개 시 정확한 정보 전달의 중요성을 시사한다.

취약점 완화를 위해, algif_aead 모듈을 비활성화하는 방법이 제시되었다. 이는 `/etc/modprobe.d/disable-algif.conf` 파일을 생성하고 `rmmod algif_aead` 명령어를 실행하는 방식으로 이루어진다. 하지만, AF_ALG를 사용하는 특정 애플리케이션(예: OpenSSL)의 경우, 성능 저하가 발생할 수 있다. 따라서, AF_ALG 사용 여부 확인(Check)을 위해 `lsof | grep AF_ALG` 또는 `ss -xa` 명령어를 사용하는 것이 권장된다.

커뮤니티에서는 각 리눅스 배포판별 패치 적용 현황에 대한 정보 공유가 이루어졌다. Debian unstable, Ubuntu 최신 버전 등 일부 배포판에서 패치가 적용되었지만, Debian stable, RedHat 등에서는 아직 패치가 제공되지 않아, 사용자들이 혼란을 겪었다. 따라서, 각 사용자는 자신의 배포판의 패치 적용 여부를 확인하고, 취약한 시스템(Vulnerable System)에 대한 추가적인 보안 조치를 취해야 한다.

취약점은 멀티 테넌트(Multi-tenant) 환경에서 특히 위험하다. 컨테이너 내에서 권한 상승에 성공할 경우, 호스트 시스템의 다른 컨테이너에 접근하여 데이터 격리 아키텍처(Data Isolation Architecture)를 무너뜨릴 수 있다. 따라서, Kubernetes, CI/CD 환경 등에서 이 취약점을 악용한 공격에 대한 대비가 필요하다. Seccomp를 사용하여 AF_ALG 소켓 생성을 차단하는 것도 하나의 완화 방법이 될 수 있다.