Linux 15년된 커널 취약점 GhostLock 발견
원제: GhostLock, a stack-UAF that has existed in all Linux distributions for 15 years
왜 중요한가
모든 Linux 배포판에 15년간 잠재된 특권 상승 취약점의 발견은 공급망 보안과 커널 감사 체계의 중요성을 재부각시킨다.
보안 연구 기업 Nebula Security의 VEGA 팀이 2011년부터 모든 주요 Linux 배포판에 존재해 온 커널 취약점 'GhostLock'(CVE-2026-43499)을 발견했다. 특별한 커널 설정이나 특권 없이 악용 가능하며, 97%의 안정률로 권한 상승 및 컨테이너 탈출이 가능하다. Google은 kernelCTF를 통해 92,337달러의 포상금을 지급했다.
Nebula Security의 연구팀 VEGA가 발견한 'GhostLock'(CVE-2026-43499)은 Linux 커널의 스택 Use-After-Free(UAF) 취약점으로, 2011년부터 모든 주요 Linux 배포판에 존재해 온 것으로 확인됐다. 이 취약점은 특별한 커널 설정이나 루트 권한 없이도 트리거할 수 있어 공격 진입장벽이 낮다.
VEGA 팀은 이 취약점을 활용해 97%의 성공률을 갖는 권한 상승 및 컨테이너 탈출 익스플로잇을 개발했으며, Google의 kernelCTF 프로그램을 통해 92,337달러(약 1억 3천만 원)의 보상을 받았다.
기술적 분석에 따르면 GhostLock의 근본 원인은 스택 UAF에 있으며, 익스플로잇 기법으로는 Prefetch를 이용한 ASLR 우회, CEA 스프레이를 통한 랜덤화 우회, PR_SET_MM_MAP을 활용한 스택 재사용, inet6_protos[IPPROTO_UDP]를 이용한 제한된 쓰기 제어, DirtyMode 전환 등 다층적인 기술이 적용됐다.
완화 방안으로는 RANDOMIZE_KSTACK_OFFSET 및 STATIC_USERMODE_HELPER 설정이 제안됐으며, 패치도 공개됐다. Nebula Security는 책임 있는 공개 정책에 따라 취약점을 사전에 관련 기관에 신고했다고 밝혔다.