기술 설명
Linux 커널의 인증 암호화 템플릿(AF_ALG 서브시스템)의 9년 된 논리 버그로, 권한이 없는 로컬 사용자가 시스템의 모든 읽을 수 있는 파일의 페이지 캐시에 결정적이고 제어된 4바이트 쓰기를 트리거할 수 있습니다. 이러한 손상을 통해 공격자는 권한이 있는 바이너리(예: /usr/bin/su)에 코드를 주입하고 루트 권한을 얻을 수 있습니다. 'Copy Fail'이라는 별칭이 붙은 이 취약점은 2011년, 2015년, 2017년에 만들어진 Linux 커널의 3가지 개별적으로 무해한 변경을 통해 도입되었습니다. CISA는 2026년 5월 1일에 이 취약점을 알려진 악용 취약점 카탈로그에 추가했으며, 야생에서의 능동적 악용 증거를 인용했습니다.
공격 경로
낮은 수준의 권한이 있는 로컬 액세스(예: SSH, 손상된 컨테이너 또는 악의적인 CI 작업 실행)가 필요하지만 사용자 상호작용은 필요하지 않습니다. 732바이트의 Python 익스플로잇이 공개적으로 사용 가능하며, Go 및 Rust 버전은 이미 오픈소스 저장소에서 감지되었습니다. 공격은 완벽하게 신뢰할 수 있고, 정당한 시스템 호출만 사용하며, 기존 엔드포인트 감지 시스템에서 보이지 않습니다. 컨테이너화된 환경에서는 호스트 커널에 algif_aead 모듈이 로드된 경우(Docker, LXC, Kubernetes에서 기본값) 취약점으로 인해 컨테이너 탈출이 가능합니다.
영향받는 시스템
2017년 이후 배포된 모든 Linux 배포판(특정 메모리 최적화 커밋이 있는 커널). 컨테이너화된 워크로드(Docker, Kubernetes)와 클라우드 기반 학습/추론 환경을 사용하는 AI/ML 인프라에 심각한 영향. Kaspersky는 컨테이너 내의 권한이 없는 프로세스가 호스트 커널을 악용하여 물리적 머신을 제어할 수 있는 컨테이너화된 AI 환경에 특별한 위험이 있음을 지적합니다.
완화 방안
Linux 커널 버전 6.18.22, 6.19.12 또는 7.0으로 패치합니다. CISA는 연방 민간 행정부 기관이 2026년 5월 15일까지 문제를 해결할 것을 요구합니다. 즉시 패치하지 않는 경우 AF_ALG 서브시스템을 비활성화하고, 네트워크 격리를 구현하며, 엄격한 접근 제어를 적용하세요. Microsoft Defender 보안 연구팀은 향후 위협 행위자 악용이 증가할 것으로 예상되는 예비 테스트 활동을 목격했다고 보고합니다.