CVE-2024-1086: 리눅스 커널의 심각한 권한 상승 취약점

분석

CVE-2024-1086은 Linux 커널의 netfilter (nf_tables) 구성 요소에서 발견된 치명적인 로컬 권한 상승 취약점으로, 로컬 공격자가 영향받은 시스템에서 루트 권한을 획득할 수 있게 합니다. 이는 2014년 경 도입된 사용 후 해제/이중 해제 버그이며 높은 심각도 점수를 가지고 있으며 실제 악용 사례가 관찰되었습니다.

조사

결함은 nf_tables 내 nft_verdict_init() 로직에서 비롯됩니다: 조작된 드롭 오류 판결과 nf_hook_slow()를 통한 훅 결합으로 인해 패킷 구조체의 이중 해제를 유발하여 커널 메모리 손상과 권한 상승이 발생할 수 있습니다. 전 세계 많은 커널 버전(특히 5.14부터 6.6 및 그 이후)에서 성공적인 악용을 보여주는 개념 증명 익스플로잇 코드가 공개되었으며, 특히 무권한 사용자 네임스페이스가 활성화된 경우 랜섬웨어 캠페인에서 악용되었습니다.

완화

관리자는 영향을 받는 Linux 커널을 이중 해제 상태를 해결한 패치 버전으로 업그레이드해야 합니다. 임시 완화 조치로는 무권한 사용자 네임스페이스를 비활성화(sysctl -w kernel.unprivileged_userns_clone=0)하고 이 변경을 /etc/sysctl.d/를 통해 지속적으로 유지하는 것이 포함됩니다. 추가 조치로는 로컬 접근 제한, 네임스페이스 생성 가능한 사용자 제한 및 루트 쉘 비정상 탐지 또는 커널 손상 징후 모니터링이 포함됩니다.

대응 조치

잠재적인 악용을 고위험 호스트 손상으로 처리하고 영향을 받은 시스템을 격리하며 커널 로그 및 지속성에 대한 포렌식 분석을 수행하고 자격 증명을 갱신하며 수평 이동을 검색해야 합니다. 취약 호스트의 패치 속도를 높이거나 업데이트가 불가능한 시스템의 은퇴를 고려하십시오. nf_tables 메모리 손상의 지표 및 관련 악용 시도를 포괄하는 탐지 및 검색 규칙을 업데이트하십시오.