기술 설명
Linux 커널의 암호화 서브시스템(algif_aead 모듈)의 결정론적 로직 결함으로 인해 권한이 없는 로컬 공격자가 공유 커널 페이지 캐시를 손상시켜 루트 권한 상승을 달성할 수 있습니다. 이 취약점은 Kubernetes 클러스터 및 컨테이너 플랫폼에 영향을 미치며, 공유 페이지 캐시로 인해 손상된 컨테이너가 물리적 파일은 변경되지 않은 채로 파일 무결성 검사를 트리거하지 않으면서 호스트의 권한 있는 실행 파일의 메모리상 복사본을 수정할 수 있습니다. CISA는 2026년 5월 1일에 CVE-2026-31431을 KEV 카탈로그에 추가했으며, 수정 기한은 5월 15일입니다.
공격 경로
암호화 작업 중 TOCTOU 결함을 악용하는 732바이트 Python 스크립트를 통한 로컬 권한 상승. 익스플로잇은 제어된 4바이트를 적절한 버퍼 영역 너머로 시스템 파일 페이지 캐시에 직접 기록하여 신뢰할 수 있는 실행 파일(sudo, su)을 메모리에서 수정하면서 디스크 파일은 손상되지 않은 상태로 유지합니다. 수정 없이 주요 배포판 전반에서 결정론적으로 작동합니다.
영향받는 시스템
Linux 커널 4.14~6.19.12 버전(2017-2026). 멀티테넌트 Linux 호스트, Kubernetes 클러스터, 컨테이너 플랫폼, CI/CD 러너 및 사용자 제공 코드를 실행하는 클라우드 SaaS 환경이 가장 높은 위험에 노출되어 있습니다. Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 및 SUSE 16이 취약한 것으로 확인되었습니다.
완화 방안
공급업체가 발행한 커널 업데이트를 즉시 적용하십시오. 임시 해결책: 'echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf'를 통해 algif_aead 커널 모듈을 차단하고 'rmmod algif_aead'를 실행합니다. Microsoft는 2026년 5월 1일 현재 악용이 개념 증명 테스트에만 제한되어 있다고 언급했습니다.