기술 설명
Linux 커널의 암호화 서브시스템(algif_aead 모듈)의 결정론적 논리 결함으로 인해 권한 없는 로컬 공격자가 공유 커널 페이지 캐시를 손상시켜 루트 권한 상향을 달성할 수 있습니다. 이 취약점은 Kubernetes 클러스터 및 컨테이너 플랫폼에 영향을 미치며, 여기서 공유 페이지 캐시를 통해 손상된 컨테이너가 파일 무결성 검사를 트리거하지 않으면서 호스트의 권한 있는 실행 파일의 메모리 내 복사본을 수정할 수 있습니다(물리적 파일은 변경되지 않음). CISA는 2026년 5월 1일 CVE-2026-31431을 KEV 카탈로그에 추가했으며, 2026년 5월 15일 수정 기한을 설정했습니다.
공격 경로
암호화 작업 중 TOCTOU 결함을 악용하는 732바이트 Python 스크립트를 통한 로컬 권한 상향. 이 익스플로잇은 정당한 버퍼 영역을 넘어 4개의 제어된 바이트를 시스템 파일 페이지 캐시에 직접 기록하여 디스크 파일은 유지하면서 메모리의 신뢰할 수 있는 실행 파일(sudo, su)을 수정할 수 있습니다. 주요 배포판 전반에 걸쳐 수정 없이 결정론적으로 작동합니다.
영향받는 시스템
Linux 커널 4.14~6.19.12(2017-2026). 멀티 테넌트 Linux 호스트, Kubernetes 클러스터, 컨테이너 플랫폼, CI/CD 러너, 그리고 사용자 제공 코드를 실행하는 클라우드 SaaS 환경의 위험이 가장 높습니다. Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1, SUSE 16이 취약점으로 확인되었습니다.
완화 방안
공급업체에서 발행한 커널 업데이트를 즉시 적용하세요. 임시 완화 방법: 'echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif-aead.conf'을 통해 algif_aead 커널 모듈을 블랙리스트에 추가하고 'rmmod algif_aead'를 실행하세요. Microsoft는 2026년 5월 1일 현재 악용이 개념 증명 테스트에만 제한되어 있다고 언급했습니다.