[Security] Dirty Frag (CVE-2026-43284·CVE-2026-43500) — 리눅스 커널 로컬 권한 상승 제로데이

Posted May 11, 2026

By Jung Woojin

15 min read

서론

2026년 5월 7~8일, 리눅스 커널에서 로컬 권한 상승(Local Privilege Escalation, LPE)을 허용하는 두 가지 취약점이 공개됐다. 별명은 Dirty Frag — CVE-2026-43284(xfrm-ESP 서브시스템)와 CVE-2026-43500(RxRPC 서브시스템)으로 구성된 이 취약점 쌍은, 표준 시스템 콜만으로 비권한 사용자가 root 권한을 탈취할 수 있다는 점에서 심각도가 높다.

이름에서 짐작할 수 있듯, Dirty Frag는 Dirty COW(CVE-2016-5195), Dirty Pipe(CVE-2022-0847)와 유사한 계보의 리눅스 커널 권한 상승 취약점 시리즈에 속한다. 이전 사례들과 달리 이번 취약점은 페이지 캐시 쓰기 프리미티브를 커널 네트워킹 서브시스템의 두 지점에서 연쇄적으로 활용한다는 기술적 차별점이 있다.

보안 연구자 Hyunwoo Kim이 발견한 이 취약점은 원래 비공개 공조 공개(coordinated disclosure) 일정에 따라 패치 완료 후 공개될 예정이었다. 그러나 제3자가 엠바고를 먼저 깨버려, Kim은 완전한 PoC 익스플로잇 코드와 함께 예정보다 앞당겨 공개를 강행했다. PoC가 공개된 상황에서 패치가 완료되지 않은 취약점이 외부에 알려진 셈이라, 운영자들에게는 즉각적인 완화 조치가 요구된다.

Ubuntu, Red Hat, AlmaLinux, CloudLinux 등 주요 배포판은 일제히 보안 권고문을 발행하고 커널 패키지 업데이트를 배포 중이거나 준비 중이다. Canonical(Ubuntu)의 공식 보안 권고문에 따르면, Ubuntu 14.04 LTS부터 26.04 LTS까지 모든 현행 지원 버전이 영향을 받는다. CVSS 3.1 점수는 7.8 (HIGH)로 평가됐다.

본론

기술적 배경: 페이지 캐시 쓰기 프리미티브

Dirty Frag를 이해하려면 먼저 리눅스 커널의 페이지 캐시(page cache) 구조를 알아야 한다. 리눅스는 디스크 I/O 성능을 높이기 위해 파일 내용을 메모리의 페이지 캐시에 올려두고, 프로세스가 파일을 읽을 때 캐시를 먼저 참조한다. 이 캐시에 임의의 데이터를 쓸 수 있는 능력을 “페이지 캐시 쓰기 프리미티브”라고 부른다.

공격자가 이 프리미티브를 확보하면, 예를 들어 /etc/passwd의 캐시된 복사본을 조작해 root 계정의 패스워드 해시를 제거하거나, setuid 바이너리의 캐시된 내용을 바꿔치기하는 방식으로 권한 상승을 달성할 수 있다. Dirty COW나 Dirty Pipe도 같은 계열의 공격 기법을 사용했다는 점에서 “Dirty” 시리즈로 묶인다.

Dirty Frag는 이 프리미티브를 두 곳에서 확보한다:

CVE	서브시스템	도입 시기	원인
CVE-2026-43284	xfrm-ESP (IPsec)	2017년 1월	소켓 버퍼 단편화(fragmentation) 처리 오류
CVE-2026-43500	RxRPC (AFS)	2023년 6월	패킷 재조합(reassembly) 중 메모리 참조 오류

두 취약점 모두 CVSS 3.1 점수 7.8 (HIGH)로 평가됐다. 로컬 코드 실행이 전제 조건이므로 원격 익스플로잇은 불가능하다. 그러나 클라우드 멀티테넌트 환경, 쉘 접근이 허용된 공유 서버, 또는 CI/CD 런너처럼 여러 사용자가 공유하는 컴퓨팅 리소스에서는 매우 위험한 취약점이다.

익스플로잇 동작 방식

공개된 PoC는 일반 비권한 사용자 계정에서 실행된다. 기본 흐름을 요약하면 다음과 같다:

1. CVE-2026-43284 또는 CVE-2026-43500을 이용해
   커널 내 페이지 캐시 쓰기 프리미티브 확보

2. 취약한 ESP/RxRPC 소켓을 통해 조작된 패킷 전송
   → 커널이 단편화/재조합 과정에서 잘못된 페이지 캐시 위치에
     공격자 제어 데이터를 기록

3. 기록된 데이터로 커널 내부 구조체 오염(corruption)

4. setuid 바이너리 또는 /etc/passwd 조작을 통해 root 셸 획득

PoC는 socket(), sendmsg() 등 표준 시스템 콜만 사용한다. 특수 권한이나 추가 모듈 설치 없이, 기본 커널 패키지만 설치된 환경에서 그대로 재현할 수 있다는 점이 위험도를 높인다.

BleepingComputer, Wiz, Tenable 등의 보도에 따르면, 엔터프라이즈 리눅스 배포판의 기본 커널 패키지에서 해당 모듈(esp4, esp6, rxrpc)이 기본 활성화 상태로 포함돼 있어 별도 설정 없이도 취약한 상태다.

영향 범위: 어떤 시스템이 위험한가

배포판별 영향 (확인 기준: 각 배포판 공식 보안 권고):

■ Ubuntu
  - 14.04 LTS (Trusty Tahr) ~ 26.04 LTS (Resolute Raccoon)
  - 모든 현행 지원 버전에 영향

■ Red Hat Enterprise Linux (RHEL)
  - RHEL 8, RHEL 9
  - RHSB-2026-003 보안 권고 발행

■ AlmaLinux
  - AlmaLinux 8, AlmaLinux 9
  - 패치 커널 배포 완료 (5월 7일)

■ CloudLinux
  - CloudLinux 8
  - Livepatching 방식 완화 조치 제공

■ Debian, Fedora
  - 커뮤니티 차원 권고 검토 중

클라우드 환경에서의 영향이 특히 주목받고 있다. AWS EC2, GCP Compute Engine, Azure VM 등 리눅스 VM은 모두 잠재적으로 영향을 받는다. Microsoft Security Blog(2026.05.08)는 Kubernetes 클러스터에서 컨테이너 탈출(container escape) 이후 노드 권한 상승으로 연계해 악용될 가능성이 있다고 별도로 경고했다.

취약점이 최초 도입된 시기(ESP: 2017년 1월, RxRPC: 2023년 6월)를 고려하면, 오랜 기간 방치됐던 버그가 이제야 발견된 셈이다. 특히 ESP 관련 코드는 약 9년간 커널에 존재했다는 점에서 “이미 오래전부터 악용됐을 가능성을 배제할 수 없다”는 시각도 나오고 있다.

패치 현황과 임시 완화 조치

패치 현황 (2026년 5월 11일 기준):

구분	상태
업스트림 커널 — ESP (CVE-2026-43284)	패치 머지 완료 (May 7, netdev tree)
업스트림 커널 — RxRPC (CVE-2026-43500)	패치 검토 중 (pending)
AlmaLinux	패치 커널 배포 완료
Ubuntu	커널 패키지 업데이트 준비 중
RHEL	패치 준비 중 (RHSB-2026-003 권고)

RxRPC 패치가 아직 업스트림에 머지되지 않은 상태에서 PoC가 공개됐다는 점이 운영 환경을 긴박하게 만들고 있다. 패치 커널 배포 전까지 적용할 수 있는 임시 완화 조치는 다음과 같다:

  
# ESP 관련 모듈 언로드 (IPsec VPN 사용 중이면 VPN이 끊길 수 있음)
sudo modprobe -r esp4
sudo modprobe -r esp6

# RxRPC 모듈 언로드 (AFS 파일시스템 미사용 환경에서는 안전)
sudo modprobe -r rxrpc

# 재부팅 후에도 비활성화 상태 유지 (blacklist 등록)
sudo tee /etc/modprobe.d/dirty-frag-mitigation.conf << 'EOF'
blacklist esp4
blacklist esp6
blacklist rxrpc
EOF

# initramfs 업데이트 (Ubuntu 계열)
sudo update-initramfs -u

# dracut 업데이트 (RHEL/AlmaLinux 계열)
sudo dracut --force

주의: IPsec VPN(WireGuard 제외)을 운영하는 환경에서 esp4·esp6를 언로드하면 VPN 터널이 즉시 끊어진다. 이런 경우 패치 커널 업데이트를 최우선으로 진행해야 한다.

CloudLinux는 kpatch 기반의 라이브패칭(livepatching) 방식으로 재부팅 없이 완화 조치를 적용하는 방법을 제공하고 있어, 무중단이 요구되는 프로덕션 서버에 유용하다.

Sysdig의 탐지 방법 (런타임 보안)

패치 적용 전까지 취약점 악용 시도를 탐지하는 방법도 중요하다. Sysdig는 ESP 및 RxRPC 소켓을 통한 비정상적인 페이지 캐시 쓰기 패턴을 Falco 룰로 탐지하는 방법을 공개했다:

  
# Falco 룰 예시 — Dirty Frag 익스플로잇 탐지
- rule: Dirty Frag Exploit Attempt
  desc: Detects possible Dirty Frag exploitation via esp4/esp6/rxrpc
  condition: >
    syscall.type = sendmsg and
    fd.type = "ipv4" and
    (proc.name != "strongswan" and proc.name != "racoon") and
    evt.rawres > 0
  output: >
    Possible Dirty Frag exploit attempt
    (user=%user.name pid=%proc.pid cmd=%proc.cmdline)
  priority: WARNING

이 룰은 오탐(false positive)이 발생할 수 있으므로, 실제 환경에 적용 전 IPsec 관련 데몬(strongSwan, Libreswan 등)을 허용 목록에 추가하는 튜닝이 필요하다.

역대 리눅스 LPE 취약점과의 비교

Dirty 시리즈와 최근 LPE 취약점을 비교하면 다음과 같다:

취약점	닉네임	CVE	공개 연도	CVSS	특징
CVE-2016-5195	Dirty COW	-	2016	7.8	Copy-on-Write 경쟁 조건
CVE-2022-0847	Dirty Pipe	-	2022	7.8	파이프 버퍼 페이지 캐시 오염
CVE-2026-31431	Copy Fail	-	2026	7.8	암호화 서브시스템 메모리 오류
CVE-2026-43284	Dirty Frag	+43500	2026	7.8	네트워킹 단편화 페이지 캐시 오염 (2개 CVE)

공통점은 CVSS 7.8, 로컬 권한 상승, 페이지 캐시 관련 메모리 취약점이라는 점이다. 차이점은 Dirty Frag가 단일 버그가 아닌 두 개의 독립적인 페이지 캐시 쓰기 프리미티브를 연쇄적으로 사용한다는 것이다.

정리

Dirty Frag는 리눅스 커널 IPsec(ESP) 및 RxRPC 서브시스템의 페이지 캐시 쓰기 프리미티브를 악용해 비권한 사용자가 root를 탈취하는 LPE 취약점(CVE-2026-43284, CVE-2026-43500)이다.
CVSS 3.1 점수 7.8 (HIGH), 2026년 5월 7~8일 공개, PoC 코드가 이미 외부에 공개된 상태다.
Ubuntu 14.04~26.04 LTS, RHEL 8/9, AlmaLinux 등 주요 배포판 대부분이 영향을 받는다.
AlmaLinux는 패치 커널 배포를 완료했고, 다른 배포판도 업데이트 준비 중이다.
패치 전까지는 esp4, esp6, rxrpc 모듈을 언로드·블랙리스트하는 임시 완화 조치를 즉시 적용해야 한다.
IPsec VPN 환경에서는 모듈 언로드 시 서비스 중단이 발생할 수 있으니, 패치 커널 업데이트를 우선 진행하는 것이 바람직하다.
클라우드 VM, Kubernetes 노드처럼 리눅스가 동작하는 모든 인프라는 패치 적용 여부를 즉시 점검해야 한다.

Reference

Security

This post is licensed under CC BY 4.0 by the author.