반응형
Linux 보안 이슈 중에서는 특히 커널(Local Privilege Escalation) 과 OpenSSH 원격 공격 취약점이 가장 크게 주목받고 있습니다.
가장 위험한 최근 Linux 취약점
1. “Copy Fail” — Linux 커널 권한 상승 취약점
- CVE: CVE-2026-31431
- 영향도: High (CVSS 7.8)
- 영향 범위:
- Ubuntu
- RHEL / Rocky / AlmaLinux
- SUSE
- Amazon Linux
- 대부분의 2017년 이후 커널
이 취약점은 일반 사용자 권한만 있어도 root 권한 획득이 가능한 문제입니다. 특히 공개 PoC(공격 코드)가 이미 배포됐고 실제 공격 사례도 보고되었습니다.
핵심 특징:
- AF_ALG crypto API 악용
- page cache 변조 방식 사용
- 컨테이너 환경(Docker/K8s)에서도 위험
- reboot 없이 악성 행위 가능
CISA도 실제 악용 중이라고 공식 경고했습니다.
임시 대응 방법
echo 'install algif_aead /bin/false' >/etc/modprobe.d/disable-algif.conf
rmmod algif_aead다만 가장 중요한 건:
yum update kernel
apt upgrade
zypper patch등으로 커널 패치 후 reboot 하는 것입니다.
2. “Fragnesia” — 최신 Root 권한 획득 취약점
- CVE: CVE-2026-46300
- 공개 시점: 며칠 전
- 영향도: High
- 유형: Local Privilege Escalation
이 취약점도 Linux 커널 내부 page cache corruption 계열이며, 최근 발견된 “Dirty Frag”와 유사합니다.
특징:
- 읽기 전용 파일 변조 가능
- /usr/bin/su 메모리 변조를 통해 root shell 획득
- 대부분의 최신 배포판 영향
특히 최근 Linux 커널에서:
- Dirty Frag
- Copy Fail
- Fragnesia
처럼 page cache 기반 root escalation 취약점이 연속 발견되고 있다는 점이 보안 업계에서 큰 이슈입니다.
3. OpenSSH 취약점들
최근 OpenSSH에서도 여러 취약점이 발표됐습니다.
주요 CVE
- CVE-2026-35385
- CVE-2026-35386
- CVE-2026-3497
영향:
- scp 권한 문제
- username 처리 오류
- ProxyCommand/GSSAPI 관련 원격 코드 실행 가능성
특히 SSH 서버를 외부에 공개 중이면:
sshd -V
rpm -qa | grep openssh
dpkg -l | grep openssh등으로 버전 확인이 필요합니다.
최근 Linux 보안 트렌드
최근 특징은 다음과 같습니다.
트렌드설명
| 커널 취약점 증가 | LPE(root 권한 상승) 급증 |
| AI 기반 취약점 탐지 | AI가 커널 버그를 빠르게 발견 |
| 공개 PoC 속도 증가 | 공개 후 수시간 내 exploit 등장 |
| 컨테이너 환경 위험 증가 | Docker/K8s 탈출 가능성 증가 |
특히 “Copy Fail”은 AI 기반 분석 도구로 발견됐다는 점이 큰 화제가 됐습니다.
서버 운영자 기준 즉시 점검해야 할 것
1순위
- 커널 업데이트 여부
- reboot 적용 여부 확인
uname -r2순위
OpenSSH 업데이트:
apt upgrade openssh-server
yum update openssh3순위
불필요한 kernel module 제거:
lsmod4순위
외부 노출 SSH 제한:
- Fail2ban
- MFA
- IP 제한
- Root login 금지
PermitRootLogin no
PasswordAuthentication no