732바이트 exploit을 통한 Root 권한 획득과 Honeypot 기반 전방위 방어 전략

Context

Kernel의 authencesn 경로 내 logic flaw로 인해 AF_ALG socket을 통한 임의 쓰기가 가능한 취약점 발생. splice() 함수 오용을 통해 setuid binary의 page cache에 4바이트를 기록함으로써 Local Privilege Escalation(LPE) 가능.

Technical Solution

• AF_ALG socket의 기본 활성화 상태를 활용한 취약 지점 진입
• splice() 시스템 콜을 이용한 page cache 내 정밀한 데이터 주입
• Kernel offset이나 Race window에 의존하지 않는 Deterministic한 공격 구조 설계
• Python 3 표준 라이브러리만으로 구성된 732바이트 규모의 경량 exploit 구현
• Honeypot 기반의 TarPit 구조를 통해 공격자의 Initial Access 시도를 원천 차단
• 가짜 Banner 제공 및 세션 지연을 통한 Brute force 공격자의 자원 낭비 유도

Impact

• 20일간 5대의 서버에서 약 40,000건의 공격 시도 탐지
• 14,000개의 고유 Source IP 중 5,000개 IP 자동 차단
• SSH(14k), Telnet(3.2k), SMB(2.2k) 순의 포트 공격 집중 확인

Key Takeaway

단일 CVE 패치만으로는 지속적인 Foothold 확보 시도를 막을 수 없으므로, Patching과 Honeypot 기반의 전방위적 진입 차단 전략을 병행하는 다층 방어 체계 구축 필요.