🥇모든 Linux 배포판에서 페이지 캐시를 수정하여 루트 권한을 획득하는 Dirty Frag 취약점

리눅스 커널에서 두 가지 취약점이 발견되었습니다. 이 취약점들은 며칠 전 공개된 Copy Fail 취약점과 유사하지만, 각각 xfrm-ESP와 RxRPC라는 다른 하위 시스템에 영향을 미칩니다. 이 일련의 취약점은 Dirty Frag(Copy Fail 2라고도 함)라는 코드명으로 명명되었습니다. 이 취약점을 이용하면 권한이 없는 사용자도 페이지 캐시의 프로세스 데이터를 덮어써 루트 권한을 획득할 수 있습니다. 현재 모든 리눅스 배포판에서 작동하는 익스플로잇이 존재합니다. 이 취약점은 패치가 배포되기 전에 공개되었지만, 해결 방법이 있습니다.

Dirty Frag는 두 가지 취약점을 다룹니다. 첫 번째는 ESP(Encapsulating Security Payload) 프로토콜을 사용하여 IPsec 암호화 작업을 가속화하는 데 사용되는 xfrm-ESP 모듈의 취약점이고, 두 번째는 UDP를 통해 실행되는 AF_RXRPC 소켓 제품군과 동일한 이름의 RPC 프로토콜을 구현하는 RxRPC 드라이버의 취약점입니다. 각각의 취약점은 루트 권한 획득을 허용합니다. xfrm-ESP 취약점은 2017년 1월부터, RxRPC 취약점은 2023년 6월부터 리눅스 커널에 존재해 왔습니다. 두 문제 모두 페이지 캐시에 직접 쓰기를 허용하는 최적화로 인해 발생합니다.

xfrm-ESP 취약점을 악용하려면 사용자에게 네임스페이스 생성 권한이 있어야 하고, RxRPC 취약점을 악용하려면 rxrpc.ko 커널 모듈이 로드되어 있어야 합니다. 예를 들어, 우분투에서는 AppArmor 규칙에 따라 권한이 없는 사용자는 네임스페이스를 생성할 수 없지만, rxrpc.ko 모듈은 기본적으로 로드됩니다. 일부 배포판은 rxrpc.ko 모듈이 없지만 네임스페이스 생성을 차단하지는 않습니다. 이 문제를 발견한 연구원은 두 가지 취약점을 모두 이용하여 시스템을 공격할 수 있는 결합 익스플로잇을 개발했으며, 이를 통해 모든 주요 배포판에서 해당 취약점을 악용할 수 있게 되었습니다. 해당 취약점은 Ubuntu 24.04.4(커널 6.17.0-23), RHEL 10.1(커널 6.12.0-124.49.1), openSUSE Tumbleweed(커널 7.0.2-1), CentOS Stream 10(커널 6.12.0-224), AlmaLinux 10(커널 6.12.0-124.52.3) 및 Fedora 44(커널 6.19.14-300)에서 작동하는 것으로 확인되었습니다.

Copy Fail 취약점과 마찬가지로, xfrm-ESP 및 RxRPC의 문제는 splice() 함수를 사용한 제자리 데이터 복호화 때문에 발생합니다. 이 함수는 페이지 캐시의 요소에 대한 참조를 전달하여 복사 없이 파일 디스크립터와 파이프 간에 데이터를 전송합니다. 쓰기 오프셋 계산 시 페이지 캐시의 요소에 대한 직접 참조 사용을 고려한 적절한 검사가 이루어지지 않아, 특수하게 조작된 요청을 통해 특정 오프셋에서 4바이트를 덮어쓰고 페이지 캐시에 있는 모든 파일의 내용을 수정할 수 있습니다.

모든 파일 읽기 작업은 먼저 페이지 캐시에서 내용을 가져옵니다. 페이지 캐시의 데이터가 수정된 경우, 파일 읽기 작업은 드라이브에 저장된 실제 정보가 아닌 수정된 데이터를 반환합니다. 이 취약점을 악용하는 방법은 suid 루트 플래그가 있는 실행 파일의 페이지 캐시를 수정하는 것입니다. 예를 들어, 루트 권한을 얻으려면 실행 파일 /usr/bin/su를 읽어 페이지 캐시에 저장한 다음, 페이지 캐시에 저장된 이 파일의 내용에 자신의 코드를 삽입할 수 있습니다. 이후 "su" 유틸리티를 실행하면 드라이브에 있는 원래 실행 파일이 아닌 페이지 캐시에 저장된 수정된 복사본이 메모리에 로드됩니다.

취약점 공개 및 패치 동시 배포는 5월 12일로 예정되어 있었지만, 정보 유출로 인해 패치 배포 전에 취약점 정보가 먼저 공개되었습니다. 4월 말, rxrpc, ipsec, xfrm 관련 패치가 netdev 공개 메일링 리스트에 게시되었지만, 해당 패치가 취약점과 관련이 있다는 언급은 없었습니다. 5월 5일, IPsec 서브시스템 관리자는 xfrm-esp 모듈의 수정 사항을 제안하는 netdev Git 저장소 변경 사항을 승인했습니다. 해당 변경 사항에 대한 설명은 algif_aead 모듈의 Copy Fail 취약점을 유발한 문제에 대한 설명과 거의 동일했습니다. 한 보안 연구원이 이 수정 사항에 관심을 갖고 작동하는 익스플로잇을 만들어 공개했는데, 그는 5월 12일까지 해당 문제에 대한 정보 공개가 금지되어 있다는 사실을 알지 못했습니다.

리눅스 커널 및 배포판의 커널 패키지에 대한 수정 업데이트는 아직 게시되지 않았지만, 문제를 해결하는 패치(xfrm-esp 및 rxrpc)는 사용 가능합니다. CVE 식별자가 할당되지 않아 배포판의 패키지 업데이트를 추적하기가 어렵습니다. 임시 해결책으로 esp4, esp6 및 rxrpc 커널 모듈의 로드를 차단할 수 있습니다. 다음 명령어를 실행하세요: sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

출처 : opennet.ru

모든 리눅스 배포판에서 페이지 캐시를 수정하여 루트 권한을 획득하는 Dirty Frag 취약점