Nginx-UI와 snap-confine CVE 체이닝을 통한 Root 권한 탈취

Context

Nginx-UI의 인증 미흡한 백업 엔드포인트와 snap-confine의 TOCTOU 취약점이 공존하는 Linux 환경. SUID-root 바이너리와 systemd-tmpfiles의 정기적 정리 프로세스 간의 비동기적 실행 타이밍이 보안 허점으로 작용함.

Technical Solution

• CVE-2026-27944를 통한 /api/backup 엔드포인트 무단 접근 및 AES 암호화 백업 파일 획득
• HTTP Response Header의 X-Backup-Security 필드에서 AES 복호화 키를 직접 추출하여 데이터베이스 기밀 정보 탈취
• Bcrypt 해시 기반의 사용자 계정 패스워드 오프라인 크래킹을 통한 SSH 초기 진입 권한 확보
• snap-confine과 systemd-tmpfiles 사이의 TOCTOU Race Condition을 활용한 /tmp 디렉토리 제어
• AF_UNIX 소켓의 Backpressure를 이용한 실행 흐름 지연으로 공격용 Shared Library 주입 윈도우 확보
• SUID-root 권한으로 실행되는 Dynamic Linker 하이재킹을 통한 임의 코드 실행 및 Root 권한 상승