آسیب‌پذیری جدید در کرنل لینوکس؛ یک کاراکتر اشتباه، دسترسی Root محلی را ممکن می‌کند

محققان امنیتی یک بهره‌برداری (exploit) دقیق و عملی برای نقص use-after-free که یک نوع آسیب‌پذیری مدیریت حافظه است و زمانی رخ می‌دهد که یک برنامه یا هسته سیستم، پس از آزاد کردن (Free کردن) یک بخش از حافظه، همچنان سعی کند از آن استفاده کند، را در هسته لینوکس منتشر کرده‌اند که به یک کاربر محلی بدون دسترسی ویژه اجازه می‌دهد سطح دسترسی خود را به ریشه (root) ارتقا داده و از یک کانتینر خارج شود.

علت اصلی این آسیب‌پذیری به یک اشتباه بسیار کوچک اما تأثیرگذار در کد nf_tables  هسته لینوکس بازمی‌گردد.  nf_tables  یکی از اجزای کلیدی هسته لینوکس برای مدیریت و فیلتر کردن ترافیک شبکه است و نقش موتور اصلی فایروال لینوکس را ایفا می‌کند. تنها یک کاراکتر اضافی باعث شده بود یک بررسی امنیتی به‌صورت معکوس عمل کند و در نهایت شرایط لازم برای ایجاد آسیب‌پذیری Use-After-Free فراهم شود.

رفع این نقص نیز به همان اندازه ساده بود و توسعه‌دهندگان هسته لینوکس تنها با حذف همان کاراکتر در یک خط کد، مشکل را برطرف کردند. Ubuntu این آسیب‌پذیری را با امتیاز CVSS 7.8 در سطح بالا (High) ارزیابی کرده است. اگر بسته هسته لینوکس توزیع شما هنوز این وصله را دریافت نکرده، باید سیستم را به‌روزرسانی کرده و مجدداً راه‌اندازی (Reboot) کنید.

شرایط بهره برداری از آسیب‌پذیری

شرایط لازم برای بهره‌برداری از این نقص بسیار رایج است: وجود nf_tables به همراه فضاهای نام کاربری بدون امتیاز (Unprivileged User Namespaces)؛ قابلیتی در لینوکس که به یک کاربر عادی اجازه می‌دهد درون یک محیط ایزوله خصوصی (Sandbox) مانند کاربر ریشه عمل کند و به بخش‌هایی از کد هسته دسترسی پیدا کند که در حالت عادی در دسترس او نیست.

هر دوی این ویژگی‌ها به‌طور پیش‌فرض در بیشتر دسکتاپ‌ها و بسیاری از سرورها فعال هستند.  این آسیب‌پذیری به‌تنهایی قابل بهره‌برداری از راه دور (Remote) نیست. این یک باگ است که مهاجم پس از به دست آوردن دسترسی اولیه به سیستم از آن استفاده می‌کند؛ برای مثال زمانی که یک شِل با سطح دسترسی پایین، یک کانتینر نفوذشده یا یک حساب کاربری سرویس در اختیار داشته باشد، می‌تواند از این نقص برای دستیابی به دسترسی Root روی میزبان (Host) استفاده کند.

نسخه‌های آزمایش شده

پژوهشگر شرکت Exodus Intelligence که این نقص را در اوایل سال ۲۰۲۵ کشف کرده بود، موفق شد آن را به یک زنجیره کامل برای دستیابی به دسترسی ریشه (Local Root) تبدیل کند. اکسپلویت او ابتدا آسیب‌پذیری Use-After-Free را فعال می‌کند، سپس از مکانیزم‌های محافظتی داخلی هسته برای مدیریت حافظه عبور می‌کند و در نهایت کنترل اجرای کد را در اختیار گرفته، به خود دسترسی Root می‌دهد و از فضای نام (Namespace) کانتینر خارج می‌شود.  او این حمله را با موفقیت روی Debian Bookworm، Debian Trixie، Ubuntu 22.04 LTS و Ubuntu 24.04 LTS آزمایش و اثبات کرد.

شرکت FuzzingLabs این نقص را روی Red Hat Enterprise Linux 10 (RHEL 10) بازتولید کرد و از روشی متفاوت برای ساخت یک اکسپلویت دستیابی به Root استفاده نمود.

اکنون روش بهره‌برداری از این نقص برای توزیع‌های Debian، Ubuntu و Red Hat مستندسازی شده است. از آنجا که این باگ در هسته اصلی لینوکس (Mainline Kernel) وجود داشته، هر توزیعی که یک هسته آسیب‌پذیر را همراه با فعال بودن هر دو قابلیت موردنیاز ارائه کرده باشد، در معرض خطر قرار دارد؛ مگر اینکه مکانیزم‌های سخت‌سازی امنیتی (Hardening) یا محدودیت‌های Namespace در آن توزیع مسیر حمله را مسدود کرده باشند.

آسیب‌پذیری CVE-2026-23111 در دوره‌ای منتشر شده که افشای آسیب‌پذیری‌های محلی ارتقای سطح دسترسی در لینوکس به‌شدت افزایش یافته است. آسیب‌پذیری‌هایی مانند Copy Fail ،Dirty Frag اگرچه جزئیات فنی این آسیب‌پذیری‌ها متفاوت است، اما همگی یک ویژگی نگران‌کننده مشترک دارند: یک دسترسی اولیه با سطح پایین به‌طور مداوم به دسترسی Root در نصب‌های معمولی لینوکس تبدیل می‌شود.

راهکار امنیتی آسیب‌پذیری

توصیه اصلی این است که هسته سیستم را به‌روزرسانی کرده و پس از آن سیستم را راه‌اندازی مجدد (Reboot) کنید. از آنجا که این نقص فقط به‌صورت محلی قابل بهره‌برداری است و به قابلیت Unprivileged User Namespaces نیاز دارد، اولویت باید با سیستم‌هایی باشد که به کاربران یا بارهای کاری غیرقابل اعتماد اجازه ایجاد چنین Namespaceهایی را می‌دهند.

Ubuntu اصلاحیه‌های امنیتی این نقص را برای نسخه‌های 22.04، 24.04 و 25.10 منتشر کرده است. Debian نیز نسخه‌های Bookworm و Trixie را اصلاح کرده و برای Bullseye LTS یک نسخه پشتیبان‌سازی‌شده (Backport) از هسته 6.1 ارائه داده است.

در حال حاضر هیچ گزارش عمومی مبنی بر سوءاستفاده از این آسیب‌پذیری در حملات واقعی مشاهده نشده و هیچ گروه تهدید یا مهاجم شناخته‌شده‌ای به آن مرتبط نشده است. وصله امنیتی از ماه فوریه در دسترس بوده و کدهای بهره‌برداری نیز از ماه آوریل به‌صورت عمومی منتشر شده‌اند.