“복사 실패” – Linux 로컬 권한 상승 취약점 (CVE-2026-31431)

요약

Copy Fail은 다음으로 추적되는 Linux 로컬 권한 상승 취약점입니다. CVE-2026-31431 이 취약점은 비특권 사용자가 AF_ALG and 스플라이스를 악용하여 setuid 바이너리의 페이지 캐시를 손상시킴으로써 루트 액세스를 얻을 수 있게 합니다. 이 결함은 2017년 이후 제공된 Linux 커널에 존재하며 모든 주요 배포판에 영향을 미칩니다. 악용은 로컬 코드 실행만 필요로 하며 네트워크 액세스에 의존하지 않습니다. 실질적으로 이 버그는 컨테이너를 탈출하거나 공유 환경 또는 CI 기반 환경을 훼손하는 데 사용할 수도 있습니다.

조사

Xint Code의 연구자들은 Linux 암호화 하위 시스템의 논리 결함을 악용하는 732바이트 Python 개념 증명 코드를 발견했으며, 정확히는 authencesn내부에서 발생하는 이 결함을 발견했고, 공격자가 제어하는 데이터를 페이지 캐시 페이지에 기록하는 소켓을 악용합니다. 이 악용은 디스크가 아닌 메모리 내에서 목표 setuid 바이너리를 변경하여 바이너리가 실행될 때 실제 루트 셸을 얻을 수 있도록 합니다. 공개된 개념 증명은 Ubuntu, Amazon Linux, RHEL 및 SUSE 환경에서 사용되는 커널에서 성공적으로 테스트되었습니다. AF_ALG sockets to write attacker-controlled data into a page-cache page. The exploit alters the target setuid binary in memory rather than on disk, allowing the attacker to obtain a real root shell when the binary is executed. The public proof-of-concept was tested successfully against kernels used in Ubuntu, Amazon Linux, RHEL, and SUSE environments.

완화

주요 해결책은 커밋 algif_aead 의 2017년 도입된 인플레이스 최적화를 되돌리는 커널 패치를 적용하는 것입니다. a664bf3d603dLinux 공급업체들은 이미 패치된 버전을 롤아웃하고 있습니다. 임시 보호 대책으로, 관리자는 algif_aead 모듈을 다음을 통해 블랙리스트에 추가 modprobe 하고 실행 중인 커널에서 이를 제거할 수 있습니다. 신뢰할 수 없는 작업 로드를 위해 seccomp을 사용한 소켓 생성 차단은 추가적인 보호 계층을 제공합니다. AF_ALG socket creation with seccomp provides an additional layer of protection.

대응

보안 팀은 즉시 모든 Linux 시스템의 커널 버전과 패치 상태를 확인해야 합니다. 가능하면 업데이트된 커널 패키지나 공급업체 백포트를 가능한 한 빨리 배포해야 합니다. 패치를 즉시 할 수 없는 경우, 수비수는 algif_aead 모듈을 블랙리스트에 추가하고 다음을 차단하는 seccomp 규칙을 시행해야 합니다. AF_ALG 소켓 사용. 모니터링은 setuid 바이너리 및 copy_fail_exp.py 또는 관련된 익스플로잇 동작을 닮은 실행 패턴의 의심스러운 변경사항도 포함해야 합니다.