از یک غلط تایپی تا دسترسی کامل به سرور؛ آسیب‌پذیری جدید لینوکس

 ۱. ماجرا چیست؟ خطای معکوس در ساختار کدهای فیلترینگ

این ضعف امنیتی جدید که با کد CVE-2026-23111  ثبت شده، در بخش مدیریت و فیلترینگ بسته‌های شبکه کرنل لینوکس (کدهای  nf_tables) قرار دارد. نکته شگفت‌انگیز برای کارشناسان فناوری این است که این روزنه نه به دلیل پیچیدگی الگوریتم‌ها، بلکه تنها به دلیل یک کاراکتر اضافی یا دستکاری‌شده (یک بررسی منطقی معکوس و اشتباه) به وجود آمده است. این باگ پس از فعال شدن، باعث بروز خطای حافظه از نوع Use-After-Free می‌شود که مدیریت رم دستگاه را مخدوش می‌کند.

اگرچه وصله اصلاحی رسمی این باگ در ۵ فوریه ۲۰۲۶ در لایه اصلی لینوکس اعمال شد، اما موسسه امنیتی Exodus Intelligence  در تاریخ ۸ ژوئن ۲۰۲۶ جزئیات فنی و یک کد نفوذ کاملاً فعال (Exploit) را برای آن منتشر کرد. سیستم‌های ارزیابی امنیتی اوبونتو، درجه خطر این آسیب‌پذیری را ۷.۸ (بالا) تعیین کرده‌اند.

نفوذ به قلب لینوکس؛ هشدار فوری CISA درباره بهره‌برداری از نقص «Copy Fail» در ادامه حتما بخوانید

۲. فرمول زنجیره نفوذ؛ چطور یک حساب کاربری ساده به «ریشه سیستم» تبدیل می‌شود؟

بر خلاف بسیاری از حملات بزرگ، این باگ دارای بردار نفوذ از راه دور (Remote) نیست؛ یعنی هکر نمی‌تواند مستقیماً از بستر اینترنت به سرور حمله کند. این آسیب‌پذیری در اصل یک ابزار ارتقای سطح دسترسی محلی (Local Privilege Escalation) است.

سناریوی خطر زمانی شکل می‌گیرد که هکر قبلاً از طریق یک لایه نفوذ اولیه (مانند یک وب‌سایت آلوده، ایمیل فیشینگ یا حساب کاربری ضعیف)، یک دسترسی ساده و محدود روی سیستم یا کانتینر به دست آورده باشد. مهاجم با اجرای این کد نفوذ جدید:

1. فیلترهای داخلی حافظه کرنل را دور می‌زند.
2. از محیط قرنطینه‌شده کانتینر (Sandbox) فرار می‌کند.
3. خود را به عنوان مدیر کل یا ریشه سیستم (Root) معرفی کرده و کنترل کامل سرور میزبان را به دست می‌گیرد.

این زنجیره نفوذ روی توزیع‌های بزرگی شامل دبیان (نسخه‌های Bookworm وTrixie)، اوبونتو (نسخه‌های 22.04 و 24.04) و ردحت (RHEL 10) با موفقیت آزمایش شده است.

۳. چرا این باگ در محیط‌های ابری و سرورها بسیار فراگیر است؟

برای اینکه هکر بتواند به این بخش از هسته لینوکس دسترسی پیدا کند، سیستم باید به طور هم‌زمان دو ویژگی فعال داشته باشد: سیستم فیلترینگnf_tables  و قابلیت «فضای نام کاربری غیرمجاز» (Unprivileged User Namespaces).

مشکل اصلی اینجاست که این دو ویژگی در بیشتر دسکتاپ‌ها و سرورهای توزیع‌های مختلف لینوکس، به صورت پیش‌فرض و بومی فعال هستند تا به برنامه‌های عادی اجازه دهند در محیط‌های ایزوله فعالیت کنند. همین موضوع باعث شده است که بخش بزرگی از زیرساخت‌های اینترنتی در سراسر جهان در معرض این بردار نفوذ قرار بگیرند.

۴. تحلیل کلان ۲۴ نیوز: موج سنگین آسیب‌پذیری‌های لینوکس و ورود ابزارهای هوشمند

این روزنه نفوذ جدید، تنها یکی از چندین باگ بحرانی است که در هفته‌های اخیر در هسته لینوکس فاش شده‌اند؛ نام‌هایی مثل Copy Fail، زنجیره Dirty Frag، نسخه Fragnesia  و باگ قدیمی ۹ سالهptrace (که فایل حساس shadow را لو می‌داد)، نشان‌دهنده یک وضعیت اضطراری مستمر برای مدافعان شبکه است.

موسسه امنیتی Synacktiv  در یک تحلیل کلان اشاره کرده است که سرعت خیره‌کننده کشف این باگ‌ها و نگارش کدهای نفوذ برای آن‌ها، ناشی از ورود ابزارهای هوشمند و تحلیل‌گرهای خودکار کدهای برنامه‌نویسی (AI-assisted research)است. این ابزارها با مقایسه سریع نسخه‌های قدیمی و جدید کدها  (Patch-diffing)، ضعف‌ها را پیش از آنکه سازمان‌ها فرصت آپدیت داشته باشند، پیدا کرده و در اختیار عموم قرار می‌دهند.

توصیه‌های اضطراری و اقدامات مراقبت فوری ۲۴ نیوز برای مدیران شبکه:

با توجه به اینکه کدهای نفوذ این باگ به طور کامل در اینترنت عمومی شده است، اتاق تحلیل امنیت ۲۴ نیوز اقدامات زیر را برای ایمن‌سازی زیرساخت‌ها پیشنهاد می‌کند:

• بروزرسانی فوری و راه‌اندازی مجدد (Reboot): شرکت‌های اوبونتو، دبیان، ردحت، زوزه (SUSE) و آمازون لینوکس بسته‌های اصلاحی را ارائه کرده‌اند. مدیران سیستم باید فوراً کرنل را ارتقا داده و سرورها را ری‌بوت کنند.
• محدودسازی فضاهای نام(User Namespaces): از آنجا که این حمله کاملاً به ویژگی فضاهای نام کاربری غیرمجاز وابسته است، تا زمان اعمال آپدیت کامل، این قابلیت اختیاری را روی سیستم‌هایی که نیازی به آن ندارند مسدود کنید. با قطع دسترسی کاربران عادی به این بخش، عملاً راه عبور کد نفوذ به هسته سیستم مسدود خواهد شد.
  
  

تحلیل زیرساختی و روان‌سازی تخصصی: اتاق تحلیل امنیت کاربری ۲۴ نیوز (بهراد یوسفی)