انتشار عمومی جزئیات فنی و اکسپلویتهای عملیاتی مربوط به یک آسیبپذیری کرنل لینوکس، نگرانیهای تازهای را درباره امنیت سیستمهای مبتنی بر لینوکس ایجاد کرده است. این ضعف امنیتی با شناسه CVE-2026-23111 در زیرسیستم فیلترینگ بستههای کرنل لینوکس (nf_tables) قرار دارد و ناشی از یک خطای تککاراکتری در یک بررسی معکوسشده (Inverted Check) است. این آسیبپذیری کرنل لینوکس به مهاجم لوکال اجازه میدهد با سوءاستفاده از یک باگ استفاده پس از آزادسازی (Use-After-Free)، سطح دسترسی خود را به Root افزایش دهد و حتی از فضای نام کانتینر خارج شود.
این ضعف امنیتی در 5 فوریه 2026 در شاخه اصلی توسعه کرنل (upstream) پچ شد؛ با این حال، بازتولید و اکسپلویت مستقل آن توسط FuzzingLabs در آوریل منتشر شد و Exodus Intelligence نیز تحلیل فنی کامل و اکسپلویت عملیاتی خود را در ژوئن ارائه کرد.
زنجیره حمله در آسیبپذیری کرنل لینوکس
بررسیها نشان میدهد ریشه این ضعف به یک بررسی معکوسشده (Inverted Check) در nf_tables بازمیگردد؛ خطایی کوچک که در نسخه upstream تنها با یک اصلاح یکخطی پچ شد. با این حال، در نسخههای پچنشده، این آسیبپذیری کرنل لینوکس میتواند آغازگر یک زنجیره کامل اکسپلویت باشد.
در سناریوی سوءاستفاده از کرنل آسیبپذیر، مهاجم قادر است زنجیره حملهای شامل موارد زیر را اجرا کند:
- سوءاستفاده از باگ استفاده پس از آزادسازی
- دور زدن مکانیزمهای حفاظت حافظه (Memory Protection Bypass)
- افزایش سطح دسترسی (Privilege Escalation)
- دستیابی به دسترسی Root
- خروج از محیط کانتینر (Container Escape)
سطح دسترسی و شرایط سوءاستفاده
این ضعف در سیستمهایی قابل سوءاستفاده است که از قابلیت فضای نام کاربری بدون سطح دسترسی (Unprivileged User Namespaces) پشتیبانی میکنند؛ قابلیتی که در بسیاری از توزیعهای لینوکس بهصورت پیشفرض فعال است و به کاربران عادی اجازه میدهد در یک محیط ایزوله (Sandbox)، نقش Root را داشته باشند و به بخشهایی از کرنل دسترسی پیدا کنند که در حالت عادی برای آنها قابل دسترسی نیست.
دامنه تأثیر و گسترش توزیعهای آسیبپذیر
اکسپلویت منتشرشده نشان میدهد که یک کاربر با دسترسی پایین یا سرویس محدود میتواند از طریق این آسیبپذیری کرنل لینوکس به سطح Root رسیده و حتی از کانتینر خارج شود. این آسیبپذیری در چندین نسخه از توزیعهای اصلی لینوکس مورد بررسی و تست قرار گرفته است، از جمله:
- Debian Bookworm
- Debian Trixie
- Ubuntu 22.04
- Ubuntu 24.04
در همین راستا، تیمهای امنیتی مختلف از جمله Exodus Intelligence و FuzzingLabs موفق شدهاند اکسپلویتهای عملیاتی متفاوتی را برای این ضعف توسعه داده و بهصورت مستقل بازتولید کنند.
از آنجا که این آسیبپذیری در شاخه اصلی توسعه کرنل (Mainline Kernel) وجود دارد، هر توزیعی که از کرنلی با شرایط زیر استفاده کند در معرض ریسک قرار میگیرد:
- فعال بودن زیرسیستم nf_tables
- فعال بودن قابلیت فضای نام کاربری بدون دسترسی ویژه
وضعیت امنیتی و موج جدید اکسپلویتهای لوکال
این آسیبپذیری کرنل لینوکس همزمان با موجی از آسیبپذیریهای لوکال که منجر به افزایش دسترسی تا سطح Root در لینوکس میشوند، افشا شده است؛ موجی که طی ماههای اخیر، مجموعهای از زنجیرههای حمله و اکسپلویتهای مهم را در بر گرفته است.
از جمله این موارد میتوان به حملات زیر اشاره کرد:
- Copy Fail
- Dirty Frag
- Fragnesia
- DirtyDecrypt
- یک آسیبپذیری نهساله در ptrace (Ptrace Vulnerability) که امکان خواندن فایل حساس etc > shadow و اجرای دستورات با سطح دسترسی Root را فراهم میکند.
الگوی مشترک این حملات آن است که یک دسترسی پایین لوکال بهسرعت میتواند به کنترل کامل سیستم تبدیل شود.
وضعیت پچها و کاهش سطح ریسک در آسیبپذیری کرنل لینوکس
توزیعهای اصلی لینوکس از جمله Ubuntu، Debian، Red Hat، SUSE و Amazon Linux پچهای امنیتی مربوط به این آسیبپذیری کرنل لینوکس را منتشر کردهاند:
- Ubuntu برای نسخههای 22.04، 24.04 و 25.10
- Debian برای Bookworm و Trixie
- Debian Bullseye با بکپورت کرنل 6.1
- سایر توزیعها از جمله Red Hat، SUSE و Amazon Linux نیز اطلاعیههای امنیتی رسمی برای این آسیبپذیری منتشر کردهاند.
توصیههای امنیتی
برای کاهش ریسک اقدامات زیر توصیه میشود:
- بهروزرسانی کرنل
- راهاندازی مجدد سیستم (System Reboot) پس از نصب پچ
- محدودسازی یا غیرفعالسازی فضای نام کاربری در صورت عدم نیاز
در حال حاضر هیچ گزارش رسمی از اکسپلویت فعال در محیط واقعی (In-the-Wild Exploitation) منتشر نشده است، اما با توجه به عمومی شدن اکسپلویت از آوریل، سطح ریسک این آسیبپذیری کرنل لینوکس همچنان بالا ارزیابی میشود.
