PinTheft 리눅스 커널 취약점: RDS 버그와 io_uring을 이용한 루트 권한 탈취

문제는 RDS zerocopy 전송 경로에서 발생한다. zerocopy는 데이터를 커널과 사용자 공간 사이에서 여러 번 복사하지 않고 직접 전송해 성능을 높이는 기술이다. 하지만 이 과정에서 복잡한 메모리 관리가 필요하다.

특히 rds_message_zcopy_from_user() 함수는 전송을 위해 사용자 메모리 페이지를 하나씩 pin(고정) 한다. 이후 페이지 처리 과정에서 오류나 페이지 폴트가 발생하면, 에러 처리 루틴이 이전에 고정했던 페이지를 해제해야 한다. 문제는 이 과정에서 이미 관리되고 있는 페이지를 잘못 해제하는 double‑free 또는 reference count 오류가 발생할 수 있다는 점이다.

이 메모리 관리 오류가 PinTheft 공격의 핵심 기반이 된다.

PinTheft 공격이 작동하는 방식

연구자들은 이 버그를 단순한 메모리 오류에서 끝내지 않고, 다른 커널 기능과 결합해 실제 권한 상승 공격으로 연결할 수 있음을 보여줬다.

1. RDS zerocopy double‑free 트리거

공격자는 먼저 취약한 RDS zerocopy 경로를 호출해 페이지 pinning 과정에서 오류를 유도한다. 이후 정리(cleanup) 단계에서 커널이 잘못된 페이지 해제를 수행하면서 내부 메모리 상태가 깨지게 된다.

2. io_uring fixed buffer로 메모리 재할당

다음 단계에서 공격자는 리눅스의 고성능 비동기 I/O 인터페이스인 io_uring을 활용한다.

특히 fixed buffer 기능을 사용하면 사용자 애플리케이션이 커널에 특정 메모리 버퍼를 등록해 I/O 작업에 사용할 수 있다.

공격자는 이를 이용해 방금 해제된 물리 페이지를 다시 할당받도록 조작한다. 이렇게 되면 취약점으로 인해 깨진 메모리 영역을 공격자가 통제할 수 있게 된다.

3. 페이지 캐시(page cache) 덮어쓰기

이 과정에서 손상된 페이지가 파일 데이터가 저장된 페이지 캐시와 연결될 수 있다.

페이지 캐시는 커널이 파일 내용을 메모리에 캐시해 성능을 높이는 메커니즘이다. 공격자는 메모리 손상을 이용해 디스크 파일을 직접 수정하지 않고도 커널이 읽어주는 파일 내용을 바꿀 수 있다.

4. SUID‑root 바이너리 변조

공격 체인의 마지막 단계에서는 SUID‑root 실행 파일의 페이지 캐시가 공격 대상이 된다.

SUID(Set User ID) 비트가 설정된 실행 파일은 실행 시 파일 소유자 권한(대부분 root) 으로 실행된다. 공격자가 페이지 캐시에 있는 해당 바이너리 내용을 변조하면, 커널은 변조된 코드를 실행하면서도 여전히 root 권한을 부여하게 된다.

그 결과 공격자는 시스템에서 root 권한을 획득할 수 있다.

어떤 시스템이 특히 위험한가

취약점 자체는 특정 배포판에만 제한되지 않지만, 실제 위험도는 시스템 설정에 크게 의존한다.

Arch Linux

보안 보고서에서는 Arch Linux 환경이 특히 노출 가능성이 높다고 지적한다.

• 공개된 PoC 익스플로잇이 Arch Linux 환경에서 동작하는 것이 확인됨
• 일부 Arch 커널 설정에서 RDS 모듈 사용 가능

이 때문에 초기 테스트와 데모 환경으로 Arch Linux가 자주 사용됐다.

RDS 모듈이 활성화된 시스템

다음 조건이 만족되면 어떤 배포판에서도 이론적으로 취약할 수 있다.

• 취약한 커널 버전 사용
• RDS 커널 모듈이 로드되었거나 로드 가능

다만 많은 기업용 배포판에서는 해당 모듈이 기본적으로 활성화되지 않는 경우가 많다.

일반적인 엔터프라이즈 배포판

보고서에 따르면 Ubuntu, Debian, RHEL, AlmaLinux 기본 설정에서는 RDS 모듈이 기본적으로 활성화되지 않는 경우가 많아 상대적으로 위험이 낮을 수 있다. 그러나 실제 영향 여부는 각 시스템의 커널 설정을 확인해야 한다.

CloudLinux

CloudLinux 측은 PoC를 여러 플랫폼 버전에서 테스트한 결과 자사 플랫폼은 영향을 받지 않는다고 밝혔다.

공격이 성공하기 위한 조건

PinTheft 공격이 실제로 성공하려면 다음과 같은 조건이 동시에 충족되어야 한다.

• 공격자가 로컬에서 일반 사용자 권한으로 코드 실행 가능
• 취약한 Linux 커널 사용
• RDS 커널 모듈이 활성화 또는 로드 가능
• io_uring을 일반 사용자도 사용할 수 있음
• 공격 대상이 될 SUID‑root 실행 파일 존재

이 조건 중 일부라도 충족되지 않으면 실제 공격 난이도는 크게 높아지거나 공격이 불가능해질 수 있다.

관리자 대응 및 보안 권장 사항

커널 업데이트 적용

가장 중요한 대응은 배포판에서 제공하는 최신 커널 패치 설치다. RDS zerocopy 코드 경로에 대한 수정이 이미 공개됐다.

커널 업데이트는 적용 후 시스템 재부팅이 필요하다.

RDS 모듈 비활성화

RDS 네트워크 기능을 사용하지 않는 환경이라면 다음과 같은 방법으로 공격 표면을 줄일 수 있다.

• rds 모듈 blacklist
• 자동 로드 설정 제거

io_uring 사용 제한

공격 체인이 io_uring fixed buffer에 의존하므로, 가능한 환경에서는 unprivileged io_uring 사용 제한이 방어에 도움이 될 수 있다.

SUID 바이너리 점검

SUID 실행 파일이 공격의 최종 목표가 되므로 다음 작업이 권장된다.

• 불필요한 SUID 바이너리 제거
• 필요 없는 경우 SUID 비트 제거

다중 사용자 시스템 우선 패치

PinTheft는 로컬 실행 권한이 있는 공격자를 전제로 하기 때문에 다음 환경에서 특히 위험하다.

• CI/CD 러너
• 공유 호스팅 서버
• 다수 개발자가 사용하는 서버

이러한 시스템은 우선적으로 패치와 보안 설정 점검을 진행하는 것이 좋다.

보안 측면에서의 의미

PinTheft는 현대 커널 익스플로잇이 여러 커널 서브시스템을 연결해 공격 체인을 구성하는 방식을 잘 보여주는 사례다. 이번 경우에는 RDS 네트워크 스택의 메모리 버그와 io_uring I/O 프레임워크가 결합됐다.

또한 평소에는 거의 사용되지 않는 커널 모듈이라도, 다른 기능과 결합될 경우 심각한 권한 상승 공격 경로가 될 수 있다는 점을 보여준다.

결국 가장 확실한 방어는 정기적인 커널 업데이트와 불필요한 모듈 최소화라는 기본 보안 원칙을 지키는 것이다.