Dirty Frag: 범용 Linux LPE(로컬 권한 상승) 취약점 — 빠르게 정리해야 하는 이유
2026년 5월 7일, Linux 커널의 새로운 로컬 권한 상승(Local Privilege Escalation, LPE) 취약점이 공개되었다. 'Dirty Frag'로 명명된 이 취약점은 주요 배포판 전반에 영향을 미치며, 아직 패치가 존재하지 않는 상황에서 결정적 완화책 적용이 시급하다. 이 글에서는 Dirty Frag가 무엇인지, 왜 지금 즉시 대응해야 하는지, 그리고 어떻게 완화할 수 있는지를 정리한다.
Dirty Frag란 무엇인가
Dirty Frag는 Linux 커널의 네트워킹 및 메모리 프래그먼트 처리 방식에 존재하는 두 개의 LPE 취약점을 가리킨다. 영향을 받는 커널 모듈은 세 가지다:
• esp4 / esp6: IPsec ESP(Encapsulating Security Protocol)를 위한 모듈
• rxrpc: Andrew File System(AFS)에서 사용되는 프로토콜 모듈
각각에 CVE가 부여되었다:
• CVE-2026-43284: esp4/esp6 관련 (Canonical 평가 CVSS 3.1 점수 7.8)
• CVE-2026-43500: rxrpc 관련
Canonical(Ubuntu)과 Microsoft Security Blog 모두 이를 HIGH 심각도로 분류하고 있다.
핵심 특징: Copy Fail과 같은 버그 클래스
Dirty Frag는 2026년조시후 공개된 Copy Fail(CVE-2026-31431)과 동일한 버그 클래스에 속한다. 구체적으로는 sk_buff 구조체의 frag 멤버를 오염시키는 논리 버그로, 기존 Copy Fail 완화책(algif_aead 블랙리스트)을 적용한 시스템에서도 여전히 동작한다는 점이 특히 위험하다.
이 취약점 클래스의 가장 큰 특징은 결정론적(deterministic)이라는 점이다. 기존 Linux LPE 익스플로잇이 레이스 컨디션에 의존해 타이밍 윈도우를 맞춘다면, Dirty Frag는 그런 조건이 필요 없다. 익스플로잇 실패 시에도 커널 패닉이 발생하지 않으며, 성공률이 매우 높다.
Microsoft는 이를 "기존 Linux LPE 기법보다 더 일관된 권한 상승을 제공하도록 설계되었다"고 평가했다.
영향 범위: 9년간 침투한 취약점
Dirty Frag의 유효 수명은 약 9년으로 거슬러 올라간다:
| 취약점 | 영향 시작 커밋 | 시기 |
|---|---|---|
| xfrm-ESP Page-Cache Write | cac2661c53f3 | 2017년 1월 |
| RxRPC Page-Cache Write | 2dc334f1a63a | 2023년 6월 |
테스트 완료된 주요 배포판:
• Ubuntu 24.04.4 (6.17.0-23-generic) — 모든 Ubuntu 릴리스수영향
• RHEL 10.1 (6.12.0-124.49.1.el10_1.x86_64)
• CentOS Stream 10 (6.12.0-224.el10.x86_64)
• AlmaLinux 10 (6.12.0-124.52.3.el10_1.x86_64)
• Fedora 44 (6.19.14-300.fc44.x86_64)
• openSUSE Tumbleweed (7.0.2-1-default)
또한/container 환경에서도 이 취약점은 컨테이너 탈출(container escape) 시나리오를 가능하게 하며, 아직 PoC는 공개되지 않았지만 Microsoft는 이미 활성 캠페인이 진행 중이라고 밝혔다.
두 취약점을 체이닝하는 이유
esp4/esp6 취약점과 rxrpc 취약점은 각각 단독으로도 root 권한 상승이 가능하지만, 둘을 체이닝하면 모든 주요 배포판을 커버할 수 있다:
• xfrm-ESP Page-Cache Write: Copy Fail과 동일한sink를 공유하며 강력한 4바이트 임의 쓰기 프리미티브를 제공. 그러나 네임스페이스 생성 권한이 필요. Ubuntu는 AppArmor 정책으로 비특권 네임스페이스 생성을 차단하는 경우가 있어 이 환경에서는 동작하지 않을 수 있음.
• RxRPC Page-Cache Write: 네임스페이스 생성 권한이 불필요. 하지만 rxrpc.ko 모듈 자체가 대부분의 배포판에 기본 포함되어 있지 않음 — Ubuntu에서는 기본으로 로드됨.
둘을 체이닝하면 서로의 맹점을 보완하여, Ubuntu, RHEL, CentOS, Fedora, openSUSE 등 모든 주요 배포판에서 root 권한 획득이 가능해진다.
지금 바로 적용해야 할 임시 완화책
현재(2026년 5월 9일 기준) 어떤 배포판에도 공식 패치가 존재하지 않는다. 엠바고가 외부 요인으로 먼저 깨져버린 상황이다.
배포판 패치가 출시되기 전까지 다음 임시 완화책을 적용하는 것을 강력히 권장한다:
# 1. 취약 모듈 로딩 차단 설정sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"# 2. 현재 로드된 모듈 언로드sudo rmmod esp4 esp6 rxrpc 2>/dev/null# 3. initramfs 갱신 (부팅 시 모듈 로딩 방지)sudo update-initramfs -u -k all적용 후 /proc/sys/kernel/grsecurity/... 또는 lsmod | grep -E 'esp|rxrpc'로 모듈이 언로드되었는지 확인한다.
완화 적용 시 확인 사항
위 완화책은 IPsec VPN(특히 StrongSwan 등) 또는 AFS 사용 환경에 영향을 줄 수 있다. 해당 서비스를 사용 중이라면 완화 적용 전 기능 영향을 반드시 검증해야 한다.
Microsoft는 또한 완화 적용 후 시스템 무결성 검증을 수행할 것을 권고한다. root 권한 획득 후 공격자가 보안 도구를 비활성화하거나 로그를 조작할 수 있으므로, 감사 로그와 무결성 모니터링을 확인해야 한다.
향후 대응 계획
1. 배포판 공식 패치 출시 후 즉시 커널 업데이트: Ubuntu, RHEL, Fedora 등 각 배포판의 보안 공지를 주시하라.
2. 패치 적용 후 /etc/modprobe.d/dirtyfrag.conf 제거 또는 유지: 배포판 권장 사항을 따른다.
3. 컨테이너 환경 추가 강화: 컨테이너 런타임 버전을 최신으로 유지하고, 불특정 제3자가 실행하는 워크로드에는액외적 격리 수준을 적용한다.
결론: 지금 해야 할 일
Dirty Frag는 다음과 같은 점에서 기존의 Linux LPE 취약점과 다르다:
• 9년간 존재해온 결정론적 버그로, 익스플로잇 신뢰도가 매우 높다.
• Copy Fail 완화책을 적용한 시스템에서도 여전히 동작한다.
-/container 환경에서도 컨테이너 탈출 경로로 동작할 수 있다.
• Microsoft는 이미 활성 캠페인을 확인했다.
지금 바로 /etc/modprobe.d/dirtyfrag.conf를 생성하고 모듈을 언로드하는 것, 그리고 배포판 패치 출시 일정을 주시하는 것이 가장 우선적인 대응이다.
tags: Linux, 커널취약점, DirtyFrag, LPE, CVE-2026-43284, CVE-2026-43500, 보안, IPsec, RxRPC, CopyFail
📚 출처
'AI 뉴스' 카테고리의 다른 글
| OpenAI, Codex에 "Pet" 기능 추가 — 에이전트 작업 상태를 눈앞에서 확인하는 펫 UI (1) | 2026.05.09 |
|---|---|
| Agents에는 더 많은 프롬프트가 아니라 제어 흐름이 필요하다 (0) | 2026.05.09 |
| 오픈 가중치가 조용히 닫히고 있으며, 이는 문제다 (0) | 2026.05.09 |
| Hunk - AI 에이전트 코드 리뷰를 위한 터미널 Diff 뷰어 완벽 가이드 (0) | 2026.05.09 |
| 다크 마켓플레이스 - AI 에이전트가 거래를 대행하는 커머스의 미래 (0) | 2026.05.08 |