فاجعه در هسته لینوکس؛ باگی ۷ ساله به نام «کپی فیل» ریشه تمام سرورهای جهان را تهدید می‌کند

سیستم عامل لینوکس که قلب تپندهٔ بیشتر سرورهای جهان، ابرسرویس‌ها و حتی میلیاردها دستگاه اندرویدی را تشکیل می‌دهد، با تهدید امنیتی جدید و خطرناکی روبه‌رو شده است.

آسیب‌پذیری موسوم به «کپی فِیل» (Copy Fail) که با شناسه اختصاصی CVE-2026-31431 در پایگاه داده آسیب‌پذیری‌های ملی (NVD) به ثبت رسیده است، یک نقص بحرانی در هسته لینوکس محسوب می‌شود. شدت این آسیب‌پذیری در سیستم امتیازدهی CVSS نمره 7.8 از 10 (در سطح بالا) ارزیابی شده است. آنچه این تهدید را از بسیاری از همتایان خود متمایز می‌سازد، قابلیت اطمینان فوق‌العاده بالای روش سوءاستفاده از آن است. تیمی از محققان امنیتی موفق به ارائه یک نمونه کد اثبات‌شده (PoC) تنها با حجم ۷۳۲ بایت شده‌اند که می‌تواند با ضمانت تقریباً صد در صدی، یک کاربر محلی بدون دسترسی ویژه (Unprivileged Local User) را به سطح دسترسی کامل ریشه (Root) ارتقا دهد.

در قلب این بحران، یک خطای منطقی ساده اما مرگبار نهفته است. این باگ امنیتی در ماژول رمزنگاری algif_aead که از طریق رابط AF_ALG در دسترس برنامه‌ها قرار می‌گیرد، ریشه دوانده است. مشکل اصلی از یک بهینه‌سازی نادرست در کد هسته در سال ۲۰۱۷ نشأت می‌گیرد؛ جایی که توسعه‌دهندگان به‌اشتباه تصمیم به انجام عملیات رمزنگاری «درجا» (In-place) گرفتند. این اشتباه ظاهراً ساده، به هکرها این امکان را می‌دهد تا با استفاده از یک ترفند برنامه‌نویسی، بدون نیاز به وقفه (Race Condition) و کاملاً قابل پیش‌بینی، چهار بایت کنترل‌شده را مستقیماً در حافظه موقت صفحه (Page Cache) هر فایل قابل خواندنی در سیستم بنویسند.

ریشه‌های یک آسیب‌پذیری هفت ساله

بخش نگران‌کنندهٔ ماجرا زمانی آشکار می‌شود که بدانیم این باگ از سال ۲۰۱۷ (نسخهٔ ۴.۱۴ هسته لینوکس) در قلب سیستمعامل وجود داشته و تمامی توزیع‌های اصلی مبتنی بر لینوکس را تحت تأثیر قرار داده است. این سابقه هفت ساله به این معناست که میلیون‌ها دستگاهی که در این مدت بدون به‌روزرسانی امنیتی کافی کار کرده‌اند، در معرض خطر این نفوذ قرار دارند. این نقص امنیتی به‌طور رسمی در ۲۹ آوریل ۲۰۲۶ (۹ اردیبهشت ۱۴۰۵) به‌طور عمومی افشا شد و انتشار کدهای بهره‌برداری (PoC) در همان روز، عواقب فاجعه‌باری را به همراه داشت.

پروفسور دیوید بروملی (David Brumley) از متخصصان ارشد امنیتی در این باره می‌گوید: «کپی فِیل متعلق به همان کلاس اولیه آسیب‌پذیری‌هایی است که پیشتر با نام "دِراتی پایپ" (Dirty Pipe) شاهد آن بودیم، اما این بار در زیرسیستمی کاملاً متفاوت ظاهر شده است.» شباهت این دو آسیب‌پذیری در نحوه سوءاستفاده از حافظه نهان (Page Cache) برای دستکاری فایل‌های سیستمی است. محققان Xint.io با تأکید بر قدرت مخرب این تهدید اعلام کرده‌اند که کد استثمار آن به‌قدری قابل انتقال و همه‌منظوره است که بدون هیچ تغییری روی تمام توزیع‌های لینوکس از جمله دبیان (Debian) ، فدورا (Fedora) ، راکی لینوکس (Rocky Linux) ، اوبونتو (Ubuntu) و حتی سرورهای اختصاصی آمازون لینوکس (Amazon Linux) اجرا می‌شود و منجر به دسترسی روت می‌گردد.

ابعاد گستردهٔ فاجعه: از سرورها تا گوشی‌ها!

دامنه تأثیر این بحران امنیتی از سرورهای مراکز داده حساس گرفته تا محیط‌های ابری و حتی رایانه‌های شخصی و لپ‌تاپ‌های کاربران عادی را در بر می‌گیرد. اما شاید خطرناک‌ترین وجه این آسیب‌پذیری، تهدید جدی آن برای محیط‌های کانتینری (Containerized Environments) نظیر کوبرنتیز (Kubernetes) باشد. Page Cache حافظه‌ای است که بین تمام فرآیندهای سیستم به اشتراک گذاشته می‌شود. این ویژگی، مفهوم محبوب "جداسازی" (Isolation) در کانتینرها را بی‌اثر می‌سازد. به عبارت دیگر، هکری که موفق به دسترسی به یک کانتینر معمولی و کم‌مجوز شود، می‌تواند با استفاده از «کپی فِیل» از این کانتینر خارج شده (Escape) و کنترل کل گره (Node) میزبان را به دست گیرد. «این آسیب‌پذیری از چهار ویژگی منحصربه‌فرد برخوردار است که تقریباً هرگز با هم دیده نمی‌شوند: قابلیت حمل بالا (Portable) ، حجم بسیار کوچک (Tiny) ، مخفی‌کاری بالا (Stealthy) و نفوذپذیری فرامحیطی (Cross-Container)، این نقص به هر حساب کاربری اجازه می‌دهد تا به سطح دسترسی یک مدیر سیستم کامل ارتقا یابد.»

روش اجرای حمله اگرچه از نظر فنی پیچیده است، اما در عمل به‌قدری ساده شده که حتی هکرهای متوسط نیز می‌توانند از آن استفاده کنند. فرآیند شامل باز کردن یک سوکت AF_ALG، ایجاد یک بسته رمزگذاری خاص با استفاده از الگوریتم authencesn و سپس استفاده از تابع سیستمی splice() برای هدایت داده‌ها به Page Cache است. هدف اصلی، فایل‌های باینری setuid مانند su یا sudo هستند. با تغییر چهار بایت کلیدی در حافظه این فایل‌ها، مهاجم می‌تواند مسیر اجرای برنامه را طوری تغییر دهد که یک شل روت (Root Shell) برای او باز کند.

واکنش فوری و اعلام وضعیت قرمز

خبرنگار امنیتی ما در جریان تحقیقات خود متوجه شد که ابعاد این فاجعه به حدی جدی است که آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) تنها ۲۴ ساعت پس از افشای عمومی آن، این نقص را به فهرست «آسیب‌پذیری‌های در حال بهره‌برداری شناخته شده» (KEV) اضافه کرده است. این اقدام، زنگ خطری جدی برای تمامی نهادهای فدرال و بخش خصوصی محسوب می‌شود.

آژانس‌های فدرال تا ۱۵ مه (۲۵ اردیبهشت ۱۴۰۵) فرصت دارند تا نسبت به وصله کردن سیستم‌های خود اقدام کنند. در بیانیه CISA آمده است که گزارش‌های موثقی از سوءاستفاده فعال از این حفره امنیتی بلافاصله پس از انتشار PoC دریافت شده است؛ بنابراین صرفاً توصیه به احتیاط جای خود را به اولویت‌بندی در زنجیره فرایند مدیریت ریسک‌های امنیت سایبری داده است.

کارشناسان توصیه می‌کنند که مدیران شبکه در قدم اول نسبت به به‌روزرسانی هسته لینوکس سیستم‌های خود اقدام کنند. خوشبختانه تیم توسعه لینوکس وصله رسمی این مشکل را ارائه کرده و توزیع‌های بزرگ نیز در حال انتشار آپدیت‌ها هستند. تا زمان نصب وصله، یک راه‌کار موقت، غیرفعال کردن ماژول algif_aead است. این کار با مسدود کردن قابلیت بارگذاری این ماژول خطرناک در حافظه، می‌تواند بلافاصله جلوی بهره‌برداری احتمالی را بگیرد.

در ضمن، علیرغم نگرانی‌های ایجاد شده، مدیران می‌توانند با خیال راحت‌تر این راهکار را اجرا کنند زیرا غیرفعال کردن این ماژول هیچ تأثیری بر ابزارهای رایج رمزنگاری مثل dm-crypt (برای رمزگذاری دیسک) ، kTLS (برای امنیت انتقال داده) یا OpenSSL و SSH ندارد و تنها بر برنامه‌هایی که از موتور رمزنگاری af_alg استفاده می‌کنند، تأثیر می‌گذارد.