15년 묵은 리눅스 커널 버그 GhostLock, kernelCTF에서 \$92,337 받고 컨테이너 이스케이프까지 입증
- GhostLock(CVE-2026-43499)은 rtmutex의 requeue-PI 처리 로직에서 발생하는 스택 use-after-free로 Linux 2.6.39(2011년)부터 7.1까지 15년간 모든 배포판에 존재했음
- 특별한 커널 설정이나 권한 없이 일반 스레딩 syscall만으로 트리거 가능하며 CONFIG_FUTEX_PI=y만 있으면 됨
- Nebula Security(VEGA팀)가 이를 97% 안정적인 권한상승 및 컨테이너 이스케이프 익스플로잇으로 완성해 Google로부터 kernelCTF 상금 $92,337를 받음
- 같은 팀이 Firefox의 IonMonkey JIT 타입 컨퓨전(CVE-2026-10702)도 발견해 웹사이트 방문만으로 브라우저 샌드박스 탈출 후 GhostLock으로 루트 권한까지 체이닝 가능함을 보여줌
- 패치는 remove_waiter()에서 current 대신 waiter::task를 사용하도록 수정한 커밋 3bfdc63936dd로 2026년 4월에 반영됨
Hacker News 의견들
UAF가 뭐임? 스택 use-after-free라는데 초보한텐 설명이 부족함. 기사 구조도 이상하게 발견 시점, 패치 시점만 늘어놓고 정작 뭔지는 한참 뒤에 나옴
kernelCTF 상금 $92,337 받았다는데 임팩트 생각하면 좀 적어 보임. 원격 익스플로잇에만 큰 돈 주는 거 아닌가 싶음
제목에 LPE(로컬 권한상승)라고 안 써서 대충 넘길 뻔했는데, 이거 컨테이너 이스케이프까지 되니까 영향 범위 꽤 넓은 거임
게다가 Firefox IonMonkey JIT 타입 컨퓨전(CVE-2026-10702)도 같이 찾아서 랜덤 웹사이트 방문만으로 브라우저 샌드박스 뚫고 이 커널 버그로 루트까지 갈 수 있는 체인 구성 가능함. 자바스크립트 하나로 루팅까지 간다는 뜻 아니라 두 개 별도 익스플로잇을 체이닝하는 거임
LPE라고 안 심각하게 볼 게 아니라, 격리된 샌드박스 프로세스 안에서도 트리거 가능해서 자바스크립트 익스플로잇 하나만 더 있으면 커널까지 뚫림. 파이어폭스랑 커널 둘 다 업데이트해야 함
2.6.39에서 도입돼서 7.1에서야 패치됐다는 거 보고 진짜 놀랐음. 15년 넘게 방치된 거임
안드로이드 9, 13, 16 기기 세 대에 테스트해봤는데 두 대는 부트루프 걸리고 한 대는 그냥 꺼짐. 데모는 지원되는 Pixel 기기 배경화면 바꾸는 거임
익스플로잇이 컴파일러가 스택 프레임 배치하는 방식에 엄청 민감해서 커널 빌드마다 오프셋 다시 잡아야 함. 일단 맞는 stamp 방식이랑 오프셋 찾으면 꽤 안정적으로 동작함
UAF라는 용어 LLM 나오기 전에도 있었냐고 묻는데, 이거 2006년에 이미 CWE-416으로 등재된 완전 오래된 개념임. CVE-2010-1119 찾아보면 15년 전에도 쓰였음
'shape'라는 표현 남발하는 거 보니 이 글 Claude로 쓴 거 티남. 함수를 정의(definition)가 아니라 shape로 표현하는 게 딱 Claude 말투임
AI가 문법 교정만 돌렸는데 그 과정에서 shape 같은 표현이 섞여 들어간 걸 못 걸러냄. 앞으로 더 신경쓰겠음
글이 AI로 다듬어졌다고 해서 그 안의 발견 내용까지 의심할 필요는 없음. Google이 $90k씩 주는 게 할루시네이션 때문일 리는 없잖음