آسیب پذیری Copy Fail  در لینوکس

آسیب پذیری جدیدی به نام Copy Fail  به کمک هوش مصنوعی در کرنل لینوکس کشف شده که به مهاجمان اجازه می دهد که دسترسی خود را به روت یا ادمین ارتقا دهند.این آسیب پذیری که با شناسه CVE-2026-31431 ثبت شده از یک اسکریپت پایتون استفاده می‌کند که در تمام توزیع‌های آسیب‌پذیر لینوکس کار می‌کند.

آسیب پذیری Copy Fail توسط محققان شرکت Theori با کمک ابزار هوش مصنوعی Xint Code کشف شد.طبق پست وبلاگ این شرکت، تایانگ لی که ایده بررسی زیر سیستم crypto لینوکس را داشت. پرامتی را برای اجرای اسکن خودکار ایجاد کرد.متن پرامت به این صورت بود:

This is the linux crypto/ subsystem. Please examine all codepaths reachable from userspace syscalls. Note one key observation: splice() can deliver page-cache references of read-only files (including setuid binaries) to crypto TX scatterlists

این اسکن که در یک ساعت موفق شد، چندین آسیب پذیری را شناسایی کند ترجمه فارسی آن به این صورت می باشد:

«این زیرسیستم /crypto لینوکس است. لطفاً تمام مسیرهای کدی (codepaths) که از طریق فراخوانی‌های سیستمی (syscalls) فضای کاربر (userspace) قابل دسترسی هستند را بررسی کن. یک نکته کلیدی را در نظر داشته باش: ()splice می‌تواند ارجاعات (references) page-cache از فایل‌های فقط‌خواندنی (از جمله باینری‌های setuid) را به scatterlist‌های TX در زیرسیستم رمزنگاری تحویل دهد».

علت خطرناک بودن Copy Fail

 دسترسی روت تنها خطر اصلی این آسیب پذیری نیست. این آسیب پذیری از بسیاری از ابزارهای نظارتی مثل AIDE، Tripwire، OSSEC، Wazuh (ماژول FIM)، Samhain پنهان می‌ماند و هر ابزار دیگری که بر اساس مقایسه چک‌سام (checksum) فایل‌ها روی دیسک کار می‌کند .علت این پنهان‌ماندن به مکانیسم داخلی کرنل بازمی‌گردد. آسیب‌پذیری Copy Fail باعث می‌شود داده‌ها مستقیماً درون Page Cache (محل ذخیره موقت فایل‌ها در RAM) تغییر کنند. در شرایط عادی، کرنل برای حفظ یکپارچگی داده‌ها، هر صفحه حافظه‌ای که نسبت به نسخه دیسک تغییر کند را با برچسب (dirty) علامت‌گذاری می‌کند. این علامت به کرنل می‌گوید: «این صفحه تغییر کرده است، حتماً باید بعداً روی دیسک نوشته شود».

اما در حمله Copy Fail، کرنل هرگز آن صفحه را dirty علامت‌گذاری نمی‌کند. در نتیجه، نسخه داخل RAM (Page Cache) تغییر کرده است. اما روی دیسک هیچ تغییری حاصل نشده است و زیرسیستم writeback کرنل (مسئول نوشتن تغییرات روی دیسک) هرگز فعال نمی‌شود. ابزارهای نظارتی که فایل را از روی دیسک می‌خوانند، فایل را کاملاً سالم و دست‌نخورده می‌بینند.

وضعیت وصله امنیتی

بر اساس جدیدترین اطلاعات، وضعیت وصله در توزیع‌های مختلف لینوکس متفاوت است. آسیب‌پذیری Copy Fail  از سال ۲۰۱۷ در کرنل لینوکس وجود داشته و تقریباً تمام توزیع‌های اصلی را تحت تأثیر قرار می‌دهد . وصله رسمی در نسخه‌های کرنل 7.0، 6.19.12 و 6.18.22 منتشر شده و اکثر توزیع‌ها مانند Ubuntu، Debian، RHEL و SUSE در حال انتشار آن هستند. اما مدیران سیستم باید وضعیت به‌روزرسانی توزیع خود را جداگانه بررسی کنند .

افراد در معرض خطر

به‌طور کلی، هر سیستم لینوکس با کرنل آسیب‌پذیر می‌تواند در معرض خطر باشد؛ یعنی این آسیب‌پذیری حتی برای کاربران عادی هم مهم است. اما نگرانی اصلی متوجه سرورها، سرورهای هاستینگ اشتراکی، نودهای Kubernetes و به‌طور کلی محیط‌هایی است که کانتینرهای کاربران مختلف روی یک host اجرا می‌شوند.

راهکار امنیتی

توصیه می‌شود کاربران ابتدا نسخه کرنل سیستم خود را بررسی کنند و در صورت وجود وصله امنیتی منتشرشده از سوی توزیع مربوطه، نسبت به به‌روزرسانی سیستم اقدام نمایند. پس از اعمال وصله، حتماً سیستم را ری‌استارت کنند تا تغییرات اعمال شود.

اگرچه آسیب‌پذیری Copy Fail به خودی خود از راه دور قابل بهره‌برداری نیست و مهاجم ابتدا به دسترسی محلی یا قابلیت اجرای کد روی سیستم نیاز دارد، اما این محدودیت هرگز نباید باعث کاهش نگرانی نسبت به آن شود. آنچه Copy Fail را به یک رویداد مهم تبدیل می‌کند، این است که ثابت می‌کند، حتی عمیق‌ترین و قدیمی‌ترین بخش‌های کرنل لینوکس نیز می‌توانند برای سال‌ها میزبان آسیب‌پذیری‌های کشف‌نشده باشند. و همچنین کشف این نقص توسط هوش مصنوعی، هم قدرت تحول‌آفرین ابزارهای مدرن امنیتی را به رخ می‌کشد و هم هشداری جدی برای تمام مدیران سیستم است تا نگاه خود را به فرآیندهای امنیتی تغییر دهند.در نتیجه، باید همواره نکات امنیت سایبری را جدی گرفته و در اولویت قرار دهیم.