آسیب‌پذیری Dirty Frag در لینوکس؛ بهره‌برداری برای افزایش سطح دسترسی در حملات واقعی

آسیب‌پذیری Dirty Frag در کرنل لینوکس به‌عنوان یک ضعف جدید افزایش سطح دسترسی لوکال (Local Privilege Escalation) شناسایی شده است که به کاربر بدون دسترسی ویژه اجازه می‌دهد سطح دسترسی خود را تا root افزایش دهد. بررسی‌ها نشان می‌دهد که آسیب‌پذیری Dirty Frag احتمالاً پیش از انتشار پچ‌های رسمی، در برخی حملات واقعی مورد بهره‌برداری قرار گرفته و به همین دلیل به یک تهدید جدی برای سرورهای لینوکسی و محیط‌های سازمانی تبدیل شده است.

زنجیره CVEها و نحوه عملکرد آسیب‌پذیری Dirty Frag

این آسیب‌پذیری که با نام Copy Fail 2 نیز شناخته می‌شود، از ترکیب دو ضعف امنیتی با شناسه‌های CVE-2026-43284 و CVE-2026-43500 شکل می‌گیرد. در این سناریو، مهاجم فعالیت خود را با یک حساب کاربری عادی آغاز می‌کند و سپس با بهره‌برداری از دو ضعف امنیتی، سطح دسترسی خود را به root افزایش می‌دهد. اهمیت این زنجیره در آن است که پس از نفوذ اولیه، مسیر افزایش سطح دسترسی را به شکلی پایدار و قابل اعتماد در اختیار مهاجم قرار می‌دهد.

افشای زودهنگام و انتشار جزئیات فنی

یک پژوهشگر امنیتی به نام Hyunwoo Kim این ضعف را به‌صورت مسئولانه گزارش کرده بود، اما پیش از انتشار پچ‌های امنیتی، جزئیات آن به‌طور عمومی فاش شد. در نتیجه، Kim برای جلوگیری از انتشار اطلاعات ناقص یا تحریف‌شده، جزئیات فنی و کد اثبات مفهومی (PoC) را منتشر کرد.

به گفته او، این آسیب‌پذیری یک باگ منطقی (logic bug) قطعی  است؛ یعنی برای بهره‌برداری از آن نیازی به شرایط رقابتی (race condition) نیست، حتی در صورت ناموفق بودن بهره‌برداری معمولاً کرش کرنل رخ نمی‌دهد و نرخ موفقیت بالایی دارد.

این ویژگی‌ها احتمال تبدیل این ضعف به یک اکسپلویت عملیاتی را افزایش می‌دهد و از منظر تیم‌های امنیتی، فرض بهره‌برداری از آن باید جدی گرفته شود.

کامپوننت‌های درگیر و دامنه اثر آسیب‌پذیری Dirty Frag

این آسیب‌پذیری روی کامپوننت‌های زیر در کرنل لینوکس اثر می‌گذارد:

• xfrm-ESP (IPsec): کامپوننت مرتبط با رمزگذاری و مدیریت تونل‌های شبکه امن
• RxRPC: کامپوننت پروتکل شبکه

تحلیل‌ها نشان می‌دهد بیشترین ریسک متوجه میزبان‌هایی است که workloadهای مبتنی بر کانتینر را اجرا نمی‌کنند. با این حال، در برخی سناریوها احتمال فرار از کانتینر (container escape) نیز مطرح شده، هرچند هنوز این موضوع به‌صورت عملی اثبات نشده است.

شباهت فنی با Dirty Pipe و Copy Fail

آسیب‌پذیری Dirty Frag برای جامعه امنیتی از نظر الگوی سوءاستفاده یادآور Dirty Pipe است که در سال 2022 توجه زیادی را جلب کرد. همچنین از منظر فنی به Copy Fail نیز شباهت دارد؛ ضعفی که پیش‌تر در حملات واقعی مورد بهره‌برداری قرار گرفته بود. همین شباهت‌ها باعث شده تحلیلگران، این مورد را در دسته ضعف‌های پرریسک کرنل قرار دهند و آن را برای زیرساخت‌های لینوکسی بسیار مهم ارزیابی کنند.

مسیر بهره‌برداری از آسیب‌پذیری Dirty Frag پس از دسترسی اولیه

طبق اعلام مایکروسافت، آسیب‌پذیری Dirty Frag معمولاً پس از دسترسی اولیه مهاجم به سیستم هدف قابل بهره‌برداری است. روش‌های رایج برای رسیدن به این مرحله شامل موارد زیر می‌شوند:

• حساب‌های SSH افشا شده
• استفاده از web shell از طریق اپلیکیشن‌های اینترنتی در دسترس عموم
• سوءاستفاده از حساب‌های سرویس
• فرار از کانتینر به میزبان
• نفوذ و دسترسی غیرمجاز به ابزارهای دسترسی از راه دور

این مسیرها نشان می‌دهند که پس از هر نفوذ اولیه، امکان افزایش سریع سطح دسترسی و کنترل گسترده سیستم وجود دارد.

شواهد Microsoft Defender از فعالیت مهاجمان

طبق گزارش مایکروسافت، Microsoft Defender فعالیت محدودی را ثبت کرده است که می‌تواند نشان‌دهنده بهره‌برداری از آسیب‌پذیری Dirty Frag یا Copy Fail باشد. بر اساس این گزارش، مهاجم پس از افزایش سطح دسترسی، فایل احراز هویت GLPI LDAP را تغییر می‌دهد، موضوعی که با وجود فایل .swp ایجاد شده توسط ویرایشگر vim قابل ردیابی است.

در ادامه، مهاجم به فایل‌های نشست (PHP session) دسترسی پیدا کرده و با حذف و خواندن داده‌های باقی‌مانده، هم موجب اختلال در نشست‌های فعال می‌شود و هم به محتوای آن‌ها دسترسی پیدا می‌کند.

وضعیت پچ  و کاهش ریسک

توزیع‌های مختلف لینوکس انتشار پچ‌ها و اجرای راهکارهای کاهش ریسک را آغاز کرده‌اند که از جمله آن‌ها می‌توان به موارد زیر اشاره کرد:

• Red Hat
• Amazon Linux
• Ubuntu
• Fedora
• AlmaLinux

با توجه به عمومی شدن زودهنگام جزئیات فنی، اعمال سریع پچ‌ها و مانیتورینگ عملکردهای مشکوک باید در اولویت تیم‌های فنی و امنیتی قرار گیرد.

منابع