팔로우 
Linux 로컬 권한 상승 버그는 제한된 발판을 통해 전체 root 접근으로 전환될 때 특히 위험합니다. CVE-2026-43500 취약점은 Dirty Frag 익스플로잇 체인의 RxRPC 부분으로, Microsoft에 따르면 이미 제한된 실제 상황에서의 기밀 후 남용과 연결되어 있으며, Qualys는 주요 Linux 배포판에서 특권을 상승시킬 수 있는 페이지 캐시 쓰기 문제로 설명합니다.
이 CVE-2026-43500 분석은 Dirty Frag Linux 취약점이 소음이 많은 원격 초기 접근 버그로 프레임화되지 않기 때문에 중요합니다. 대신 Microsoft는 SSH 접근, 웹 셸 실행, 컨테이너 탈출, 또는 낮은 권한 계정의 악용 후 사용할 수 있다고 하여, 공격자들이 이미 어느 정도의 코드 실행 권한을 가진 실제 침투 체인에서 매우 관련성이 높다고 설명합니다.
Qualys는 Dirty Frag가 두 가지 Linux 커널 결함인 xfrm-ESP의 CVE-2026-43284와 RxRPC의 CVE-2026-43500을 결합한다고 설명합니다. 두 가지 중 CVE-2026-43500의 취약점이 특히 주목할 만한 이유는 익스플로잇 경로가 사용자 네임스페이스 생성이 필요하지 않고 대신 일반 사용자 권한과 add_key(“rxrpc”, …), socket(AF_RXRPC), socket(AF_ALG), splice(), recvmsg() 같은 비권한 API에만 의존하기 때문입니다.
CVE-2026-43500와 CVE-2026-43284 분석
기술 수준에서 Dirty Frag는 skb 조각에서 제자리 작업을 수행하는 네트워크 프로토콜의 수신 측에서 Linux 페이지 캐시 동작을 악용합니다. Qualys는 익스플로잇이 읽기 전용 페이지 캐시 페이지를 커널 구조에 고정시킨 후 그 페이지에 제자리 쓰기를 가하여 많은 오래된 Linux LPE 익스플로잇에서 보였던 좁은 경쟁 조건에 의존하지 않고 로컬 권한 상승으로의 안정적인 경로를 만든다고 말합니다.
Qualys의 공개된 CVE-2026-43500 poc 설명에서 선택한 대상은 /etc/passwd의 첫 번째 줄입니다. 그들의 설명은 구현이 bytes를 다시 써서 빈 암호 필드를 root에 생성하며, 공격자가 암호 프롬프트 없이 su -를 실행할 수 있다고 말합니다. 따라서 공개적으로 설명된 CVE-2026-43500 페이로드는 전통적인 악성코드 바이너리가 아니라 메모리에 저장된 캐시 데이터를 손상시켜 권한 있는 시스템 동작을 변경하는 로컬 작업의 연속입니다.
방어자들이 이 문제를 심각하게 다루어야 하는 한 가지 이유는 가시성 격차입니다. Qualys는 익스플로잇이 디스크 파일을 직접 수정하지 않기 때문에 디스크 복사본의 해싱에 의존하는 도구들이 공격을 놓칠 수 있다고 주목하는데, 이는 악의적인 캐시 상태가 RAM에서만 존재하고 캐시가 삭제되거나 시스템이 재부팅될 때까지 유지되기 때문입니다. 이것은 CVE-2026-43500 감지가 기존의 파일 무결성 검사에만 의존하지 않고 행동 및 실행 시간 원격 감시(telemetry)에 더 의존하게 만듭니다.
Microsoft의 원격 감시 자료는 왜 이 것이 운영적으로 중요한지를 보여줍니다. 관찰된 시퀸스에서 외부 연결이 SSH 접근을 획득하고 대화형 셸을 생성하며 ./update라는 ELF 바이너리를 배치한 후 즉시 su를 통한 권한 상승을 촉발했습니다. Microsoft는 또한 GLPI LDAP 인증 파일에 대한 후속 동작, 시스템 구성 조사, 여러 PHP 세션 파일 삭제, 남은 세션 데이터 접근 등이 포함된 동작을 보였습니다. 이러한 행위는 인용된 출처에서 현재 공개된 가장 최신의 CVE-2026-43500 ioc입니다.
노출 관점에서 CVE-2026-43500은 취약한 RxRPC 하위시스템이 존재하고 로컬 공격자 컨텍스트에서 접근 가능할 때 환경에 영향을 줍니다. Qualys는 영향을 받은 배포판 중 Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE를 명시적으로 언급하며, Microsoft는 저권한 계정, 컨테이너, 노출된 관리 경로, 또는 손상된 애플리케이션을 사용하는 기업 배포가 기밀 후 위험이 증가한다고 덧붙입니다.
CVE-2026-43500 및 CVE-2026-43284 완화
실질적인 CVE-2026-43500 완화는 공급자 패치가 환경에 완전히 제공되기 전에 사용할 수 있는 공격 경로를 줄이는 것으로 시작합니다. Microsoft는 2026년 5월 8일 기준으로 CVE-2026-43500에 대한 패치가 아직 제공되지 않았으며, 사용하지 않는 rxrpc 커널 모듈을 가능한 경우 비활성화하고 esp4, esp6 관련 IPsec/xfrm 기능이 안전하게 비활성화될 수 있는지 평가하고, 불필요한 로컬 셸 접근을 제한하며, 컨테이너화된 워크로드를 강화하고 비정상적인 권한 상승 활동에 대한 모니터링을 강화하는 등의 임시 조치를 권장합니다.
CVE-2026-43500 노출 및 남용을 탐지하기 위해 조직은 정적 서명 세트를 기다리는 것보다는 로컬 실행 원격 감시에 집중하고, 수상한 su 전환, 예기치 않은 모듈 사용, 그리고 기밀 후 변경 증거에 주목해야 합니다. Microsoft는 Dirty Frag 활동을 적극적으로 추적하고 있으며, Microsoft Defender 제품군에서 익스플로잇 패밀리 탐지 및 수상한 SUID/SGID 프로세스 실행 및 dirtyfrag 취약점 잠재적 남용에 대한 경고를 이미 제공하고 있습니다.
CVE-2026-43500에 대한 현재 최상의 세부 사항 또한 기밀 후 검증을 지원합니다. Microsoft는 완화만으로는 이미 성공적인 악용 시도에서 도입된 변화를 되돌리지 못할 수도 있다고 경고하며, Qualys는 오염된 페이지 캐시 콘텐츠가 캐시 삭제 또는 리부팅까지 생존할 수 있다고 지적합니다. 이러한 이유로 방어자들은 중요한 파일의 무결성을 검증하고, 안전할 경우, 인시던트 응답 동안 캐시 삭제나 리부팅을 고려해야 합니다.
FAQ
CVE-2026-43500 & CVE-2026-43284는 무엇이며 어떻게 작동합니까?
CVE-2026-43500은 Dirty Frag Linux 커널 익스플로잇 체인의 RxRPC 페이지 캐시 쓰기 결함입니다. Qualys는 이는 비권한 로컬 사용자가 메모리의 캐시 데이터를 조작하여 루트로 상승할 수 있도록 하며, Microsoft는 이를 Linux 네트워킹 및 메모리 조각 처리 구성 요소 관련 광범위한 기밀 후 권한 상승 경로의 일환으로 설명합니다.
Dirty Frag는 언제 처음 발견되었습니까?
공개된 기사에서는 개인 발견 날짜가 공개되지 않습니다. 확인된 것은 Qualys가 2026년 5월 7일에 Dirty Frag를 발표했으며 Microsoft는 2026년 5월 8일에 활성 공격 연구를 발표했다는 것입니다.
Dirty Frag가 시스템에 미치는 영향은 무엇입니까?
주요 영향은 공격자가 이미 Linux 호스트에서 제한된 실행을 획득한 후 루트로의 로컬 권한 상승입니다. Microsoft는 루트 접근이 획득되면 공격자가 보안 도구를 비활성화하고 자격 증명에 접근하며 로그 조작, 측면 이동, 지속성 확보를 할 수 있다고 말합니다.
CVE-2026-43500 및 CVE-2026-43284가 2026년에 여전히 나에게 영향을 미칠 수 있습니까?
네. 시스템은 취약한 RxRPC 경로가 존재하고 공격자가 손상된 계정, SSH 발판, 웹 셸 또는 컨테이너 탈출을 통해 로컬 코드 실행을 달성할 수 있으면 2026년에도 여전히 위험에 처할 수 있습니다. Microsoft 또한 이 CVE에 대한 패치가 발표 당시에는 아직 제공되지 않았다고 밝혔습니다.
나는 Dirty Frag로부터 나 자신을 어떻게 보호할 수 있습니까?
사용하지 않는 rxrpc 모듈을 비활성화하고 불필요한 셸 접근을 제한하며, 컨테이너를 강화하고 비정상적인 권한 상승에 대한 모니터링을 강화하며, 공급자 커널 패치를 배포해 노출을 줄이십시오. 익스플로잇이 메모리에 악의적인 캐시 상태만 남길 수 있기 때문에, 방어자들은 파일 무결성을 검증하고 인시던트 응답의 일환으로 캐시 삭제나 리부팅을 고려해야 합니다.
