بسته شواهد: چگونه نقص «Dirty Frag» دسترسی روت مطمئن را در سراسر لینوکس سازمانی فراهم میکند
یک کلاس آسیبپذیری که اخیراً فاش شده و با نام «Dirty Frag» شناخته میشود، به کاربران محلی فاقد امتیاز اجازه میدهد تا در اکثر توزیعهای اصلی لینوکس، دسترسی کامل روت (Root) را به دست آورند. مهاجمان با زنجیرهای کردن دو نقص هسته (Kernel)، میتوانند به طور مطمئن فایلهای فقط خواندنی را در حافظه بازنویسی کنند، که این امر مستلزم اقدامات فوری برای کاهش خطر در محیطهای سازمانی و ابری است.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- محققان امنیتی
- تمرکز بر مکانیسم اکسپلویت، ماهیت قطعی نقص منطقی و کاهش زمان دورههای امبارگو (ممنوعیت انتشار).
- مدافعان سازمانی
- اولویتبندی کاهش فوری خطر و دست و پنجه نرم کردن با بدهبستانهای عملیاتی ناشی از مسدودسازی ماژولهای حیاتی VPN.
- ارائهدهندگان زیرساخت ابری
- تأکید بر خطر فرار از کانتینر در محیطهای چندمستأجری و نیاز به وصلهزنی خودکار در سطح ناوگان.
زوایای پوششدادهنشده
- · کاربران نهایی که دسترسی VPN آنها در طول اقدامات اضطراری کاهش خطر به طور ناگهانی قطع شد
- · نگهدارندگان پشته شبکهسازی هسته لینوکس
چرا مهم است
«Dirty Frag» یک دسترسی محلی جزئی را با اطمینان تقریباً کامل به کنترل کامل سیستم تبدیل میکند و مرزهای سنتی کانتینرها را دور میزند. برای تیمهای فناوری اطلاعات سازمانی، درک مکانیسم این نقص برای ایجاد تعادل بین کاهش فوری خطر و احتمال از کار افتادن زیرساختهای حیاتی VPN ضروری است.
نکات کلیدی
- Dirty Frag یک آسیبپذیری بسیار قابل اعتماد برای ارتقاء امتیاز محلی در لینوکس است که دو نقص متمایز هسته را به هم زنجیره میکند.
- این اکسپلویت هسته را فریب میدهد تا عملیات رمزنگاری درجا را مستقیماً روی حافظه کش صفحه فقط خواندنی انجام دهد.
- مهاجمان میتوانند فایلهای حیاتی سیستم مانند /etc/passwd را بازنویسی کنند تا دسترسی روت را بدون ایجاد خرابی سیستم به دست آورند.
- این آسیبپذیری زودتر از موعد پس از شکسته شدن یک امبارگوی هماهنگ فاش شد و انتشار زودهنگام یک اثبات مفهوم را اجباری کرد.
- اقدامات موقت کاهش خطر مستلزم مسدودسازی ماژولهای IPsec و RxRPC است و سازمانها را مجبور میکند بین امنیت و عملکرد VPN یکی را انتخاب کنند.
اکوسیستم لینوکس با یک چالش ساختاری جدی روبرو است که قلب امنیت سازمانی را هدف قرار میدهد. یک کلاس آسیبپذیری که اخیراً فاش شده و «Dirty Frag» نامیده میشود، نقص اساسی در نحوه مدیریت حافظه شبکه و کش فایل توسط هسته سیستم عامل را آشکار کرده است. با سوء استفاده از این ضعف، یک کاربر محلی فاقد امتیاز میتواند به طور مطمئن سطح دسترسی خود را به دسترسی کامل روت ارتقا دهد و عملاً کنترل کامل دستگاه را به دست گیرد. این کشف جامعه امنیت سایبری را شوکه کرده است، زیرا این نقص بررسیهای سنتی مجوزها را دور میزند و تقریباً بر تمام توزیعهای اصلی لینوکس، از جمله اوبونتو، رد هت و دبیان تأثیر میگذارد.[7]
اکسپلویت Dirty Frag که توسط محقق امنیتی مستقل، هیونوو کیم، کشف شده است، یک خطای واحد نیست، بلکه زنجیرهای از دو باگ مجزای با شدت بالا است: CVE-2026-43284 و CVE-2026-43500. اولین مورد در مسیرهای سریع رمزگشایی IPsec Encapsulating Security Payload (ESP) قرار دارد، در حالی که دومی در ماژول RxRPC که توسط سیستم فایل اندرو (Andrew File System) استفاده میشود، یافت شده است. با زنجیرهای کردن این دو آسیبپذیری، مهاجم میتواند نقاط کور محیطی توزیعهای مختلف لینوکس را پوشش دهد و نرخ موفقیت تقریباً تضمین شدهای را در محیطهای سرور متنوع تضمین کند.[2][6]
افشای «Dirty Frag» به طور قابل توجهی آشفته بود و فشار شدید پیرامون تحقیقات آسیبپذیری مدرن را برجسته کرد. در ابتدا، جزئیات تحت یک امبارگوی هماهنگ برای افشای مسئولانه نگهداری میشد تا به فروشندگان زمان داده شود تا وصلهها را آماده کنند، اما پس از اینکه یک شخص ثالث نامرتبط سکوت را شکست، جزئیات در ۷ می ۲۰۲۶ به اجبار در حوزه عمومی منتشر شد. این افشای زودهنگام منجر به انتشار یک اثبات مفهوم (Proof-of-Concept) کاملاً عملیاتی در فضای عمومی شد، پیش از آنکه توزیعهای اصلی بتوانند بهروزرسانیهای هسته خود را نهایی و توزیع کنند، و مدافعان سازمانی را وادار کرد تا برای اعمال اقدامات موقت کاهش خطر دست و پا بزنند.[2][5]
برای درک مکانیسم «Dirty Frag»، باید به نسب آن نگاه کرد. این سومین آسیبپذیری عمده در خانواده رو به رشد اکسپلویتهای «کش صفحه» (Page Cache) است که پس از «Dirty Pipe» بدنام در سال ۲۰۲۲ و «Copy Fail» در آوریل ۲۰۲۶ ظهور کرده است. هر سه آسیبپذیری منطق زیربنایی مشابهی دارند: آنها بهینهسازیهای طولانیمدت و درجا (in-place) پردازش در هسته را به ابزارهای روت قطعی تبدیل میکنند. این اکسپلویتها به جای تکیه بر خرابی حافظه یا سرریز بافر، هسته را فریب میدهند تا از ویژگیهای کارایی خود برای بازنویسی دادههای محافظت شده استفاده کند.[2][3]
مکانیسم اصلی «Dirty Frag» به شدت بر کش صفحه لینوکس متکی است – بخشی اختصاصی و بسیار بهینهسازی شده از RAM که برای ذخیره موقت دادههای بازیابی شده از هارد دیسک استفاده میشود و سرعت کلی دسترسی به فایل را به طور چشمگیری افزایش میدهد. هنگامی که یک کاربر یا یک برنامه یک فایل سیستمی حیاتی، مانند پایگاه داده رمز عبور واقع در `/etc/passwd` را میخواند، هسته یک کپی از آن فایل را مستقیماً در کش صفحه بارگذاری میکند. سپس تمام خواندنهای بعدی مستقیماً از این کش حافظه سریع انجام میشود، نه از دیسک فیزیکی که به طور قابل توجهی کندتر است، و این امر تضمین میکند که سیستم عامل تحت بار سنگین پاسخگو باقی بماند.[3][6]
«Dirty Frag» از یک بهینهسازی عملکرد بسیار خاص که به عنوان شبکهسازی «کپی صفر» (Zero-Copy) شناخته میشود، سوء استفاده میکند. با استفاده از یک فراخوانی سیستمی به نام `splice()`، یک مهاجم میتواند به هسته دستور دهد تا یک صفحه کش صفحه فقط خواندنی را مستقیماً به ساختار بسته شبکه، که در داخل به عنوان قطعه `sk_buff` شناخته میشود، متصل کند. این مکانیسم کپی صفر برای انتقال کارآمد دادهها بدون کپی کردن آن به عقب و جلو بین فضای کاربر و فضای هسته طراحی شده است، اما به طور ناخواسته یک پل خطرناک بین بافرهای شبکه و فایلهای کش شده ایجاد میکند.[3][4]
این دقیقاً همان جایی است که خطای منطقی حیاتی در خط لوله پردازش هسته رخ میدهد. کد هسته سمت گیرنده – به ویژه در ماژولهای شبکه IPsec ESP و RxRPC – تحت این فرض سختگیرانه عمل میکند که هر دادهای که در داخل یک قطعه `sk_buff` قرار دارد، به خود پشته شبکه تعلق دارد.[1][3]
این دقیقاً همان جایی است که خطای منطقی حیاتی در خط لوله پردازش هسته رخ میدهد.
این کد کاملاً در تأیید اینکه آیا این قطعه در واقع یک ارجاع خام به یک صفحه کش صفحه مشترک و فقط خواندنی است، شکست میخورد. هسته با کورکورانه عمل کردن تحت این فرض غلط مالکیت خصوصی، عملیات عادی و بسیار ممتاز خود را بدون ایجاد هیچ گونه هشدار امنیتی ادامه میدهد.[3][6]
از آنجا که هسته معتقد است مالک داده است، عملیات رمزنگاری درجا – به ویژه رمزگشایی – را مستقیماً روی قطعه انجام میدهد. از آنجا که این قطعه صرفاً یک اشارهگر به کش صفحه فقط خواندنی است، هسته ناآگاهانه خروجی رمزگشایی شده را مستقیماً در فایل کش شده در RAM مینویسد.[6]
هر خواندن بعدی آن فایل توسط هر کاربر یا فرآیند سیستمی، کپی اصلاح شده و تحت کنترل مهاجم را مشاهده خواهد کرد و مجوزهای فقط خواندنی سیستم فایل را به طور کامل دور میزند.[5]
دقت این بازنویسی حافظه به طرز ویرانگری مؤثر است. مهاجمان میتوانند خروجی رمزنگاری را با دقت دستکاری کنند تا بایتهای خاصی را در فایل کش شده بنویسند. به عنوان مثال، محققان امنیتی نشان دادند که چگونه میتوان از این اکسپلویت برای پاک کردن فیلد رمز عبور روت در `/etc/passwd` استفاده کرد و به سیستم اجازه داد تا یک رمز عبور خالی را بپذیرد.[1][4]
همچنین، میتوان ۱۲۹ بایت اول باینری `/usr/bin/su` را با یک بار داده (Payload) قابل اجرا و قابل لینکدهی (ELF) سفارشی بازنویسی کرد و فوراً یک شل روت اعطا نمود.[3]
برخلاف آسیبپذیریهای قدیمیتر هسته مانند Dirty COW، که متکی بر شرایط رقابتی (Race Conditions) محدود و پنجرههای زمانی دقیق بودند، «Dirty Frag» کاملاً قطعی است. این اکسپلویت نیازی به برنده شدن مهاجم در یک رقابت پیچیده در برابر رشتههای پردازشی CPU ندارد؛ بلکه صرفاً هسته را فریب میدهد تا یک جریان منطقی استاندارد را اجرا کند که موفقیت را تضمین میکند. این ماهیت قطعی منجر به نرخ اطمینان ۱۰۰ درصدی اکسپلویت با حداقل خطر ایجاد خرابی سیستم یا پانیک هسته میشود.[1][6]
این قابلیت اطمینان مطلق، «Dirty Frag» را به ابزاری فوقالعاده قوی برای فرار از کانتینر تبدیل میکند. در محیطهای ابری مدرن، برنامهها اغلب در کانتینرهای سبک وزن ایزوله میشوند. با این حال، از آنجا که کانتینرها هسته میزبان زیرین را به اشتراک میگذارند، مهاجمی که یک کانتینر با امتیاز پایین را به خطر میاندازد – شاید از طریق یک برنامه وب آسیبپذیر – میتواند از «Dirty Frag» برای خراب کردن کش صفحه مشترک میزبان استفاده کند.[1][7]

این به مهاجم اجازه میدهد تا به طور کامل از محیط سندباکس خارج شده و کنترل گره سرور زیرین را به دست گیرد.[4]
ماهیت دوگانه اکسپلویت – زنجیرهای کردن باگهای ESP و RxRPC – یک انتخاب عمدی برای تضمین کاربرد جهانی بود. ثبت فضاهای نام شبکه لازم برای فعال کردن نقص ESP به امتیازات خاصی نیاز دارد که توسط ماژولهای امنیتی مانند AppArmor در توزیعهایی مانند اوبونتو مسدود میشوند. با این حال، ماژول RxRPC یک جایگزین مطمئن را فراهم میکند که به این امتیازات فضای نام نیاز ندارد و نقاط کور محیطی را در توزیعهای مختلف لینوکس به طور مؤثر پوشش میدهد.[4][7]
برای تیمهای فناوری اطلاعات سازمانی، استراتژی فوری کاهش خطر یک معضل عملیاتی جدی ایجاد کرد. از آنجا که آسیبپذیری قبل از آماده شدن وصلهها فاش شد، دفاع اصلی اعمال یک لیست مسدودسازی بود که از بارگذاری ماژولهای آسیبپذیر هسته `esp4`، `esp6` و `rxrpc` جلوگیری میکرد. در حالی که این کار تهدید را به طور مؤثر خنثی کرد، هزینه سنگینی داشت: غیرفعال کردن کامل ماژولهای ESP عملکرد IPsec را مختل میکند، که پروتکل بنیادی برای بسیاری از شبکههای خصوصی مجازی (VPN) شرکتی است.[7]
روند رویداد
۲۰۱۷
منطق رمزنگاری آسیبپذیر درجا به هسته لینوکس معرفی شد.
آوریل ۲۰۲۶
آسیبپذیری «Copy Fail» فاش شد و توجه محققان را به بردارهای خرابی کش صفحه جلب کرد.
۷ می ۲۰۲۶
یک امبارگو شکسته شد و هیونوو کیم، محقق، مجبور شد Dirty Frag را به همراه یک اثبات مفهوم عملیاتی به صورت عمومی فاش کند.
۸ می ۲۰۲۶
فروشندگان امنیتی و ارائهدهندگان ابری برای انتشار راهنماییهای کاهش خطر در حالی که بهرهبرداری فعال آغاز شده بود، دست و پا زدند.
بررسی عمیق دیدگاهها
محققان امنیتی
تحلیل ضعفهای ساختاری در بهینهسازیهای هسته.
تحلیلگران امنیتی تأکید میکنند که Dirty Frag بخشی از یک تبار نگرانکننده از آسیبپذیریهای کش صفحه است. با سوء استفاده از بهینهسازیهای شبکهسازی کپی صفر که لینوکس را بسیار کارآمد میکند، مهاجمان کارایی خود هسته را علیه آن به کار میگیرند. محققان خاطرنشان میکنند که برخلاف باگهای شرایط رقابتی، این نقص منطقی قطعی یک ابزار اکسپلویت ۱۰۰٪ قابل اعتماد را فراهم میکند، که آن را در دست بدافزارهای خودکار به شدت خطرناک میسازد.
مدافعان سازمانی
مدیریت معضل عملیاتی کاهش خطر.
برای مدیران فناوری اطلاعات، Dirty Frag بدترین سناریو را ارائه میدهد: یک اکسپلویت روز صفر با اثبات مفهوم عمومی و بدون وصله فوری. اقدام توصیه شده برای کاهش خطر – مسدودسازی ماژولهای esp4 و esp6 – VPNهای IPsec را مختل میکند، که برای اتصال نیروی کار از راه دور حیاتی هستند. مدافعان استدلال میکنند که این امر سازمانها را مجبور به یک بدهبستان غیرقابل قبول بین ایمنسازی میزبانهای کانتینر و حفظ عملیات اساسی کسب و کار میکند.
ارائهدهندگان ابری
ایمنسازی زیرساختهای چندمستأجری در برابر فرار از کانتینر.
اپراتورهای ابری و موتور کوبرنتیس، Dirty Frag را در درجه اول به عنوان یک تهدید فرار از کانتینر میبینند. از آنجا که این آسیبپذیری به یک کاربر فاقد امتیاز اجازه میدهد تا کش صفحه مشترک میزبان را خراب کند، یک کانتینر به خطر افتاده میتواند به راحتی به دسترسی روت در گره زیرین دست یابد. ارائهدهندگان مجبور شدند به سرعت اقدامات کاهش خطر DaemonSet را مستقر کنند و بازیافت گره را اجباری سازند تا معماریهای چندمستأجری خود را قبل از نهایی شدن وصلههای رسمی توزیع، محافظت کنند.
آنچه نمیدانیم
- اینکه آیا شکسته شدن امبارگو که افشای زودهنگام را اجباری کرد، نتیجه یک نشت عمدی بود یا یک کشف موازی تصادفی.
- میزان کامل اینکه گروههای تهدید پیشرفته و مداوم (APT) ممکن است قبل از افشای عمومی، این اکسپلویت را به سلاح تبدیل کرده باشند.
اصطلاحات کلیدی
- کش صفحه (Page Cache)
- بخشی از RAM که توسط هسته لینوکس برای ذخیره موقت دادههای دیسک استفاده میشود و سرعت دسترسی به فایل را افزایش میدهد.
- sk_buff (بافر سوکت)
- ساختار داده بنیادی در هسته لینوکس که برای مدیریت بستههای شبکه در حین عبور از سیستم استفاده میشود.
- کپی صفر (Zero-Copy)
- یک بهینهسازی عملکرد که در آن هسته دادهها را مستقیماً بین مکانهای حافظه جابجا میکند بدون اینکه آن را در فضای کاربر کپی کند.
- IPsec ESP
- پروتکلی که برای رمزگذاری و احراز هویت بستههای شبکه استفاده میشود و معمولاً در شبکههای خصوصی مجازی (VPN) کاربرد دارد.
پرسشهای متداول
آیا Dirty Frag اجازه اجرای کد از راه دور را میدهد؟
خیر. مهاجم باید از قبل دسترسی محلی به سیستم داشته باشد، مانند از طریق یک حساب کاربری با امتیاز پایین، یک شل وب، یا یک کانتینر به خطر افتاده.
چرا این آسیبپذیری بسیار قابل اعتماد تلقی میشود؟
برخلاف نقصهای قبلی که متکی بر زمانبندی دقیق بودند (شرایط رقابتی)، Dirty Frag یک خطای منطقی قطعی است. اگر ماژولهای آسیبپذیر وجود داشته باشند، اکسپلویت به طور مداوم موفق میشود.
آیا میتوانم فقط سیستم خود را وصله کنم تا مشکل برطرف شود؟
بله، توزیعهای اصلی لینوکس هستههای وصله شده را منتشر کردهاند. با این حال، از آنجا که آسیبپذیری قبل از آماده شدن وصلهها فاش شد، بسیاری از سازمانها مجبور به اعمال لیستهای مسدودسازی موقت شدند.
منابع
[1]Microsoft Securityمدافعان سازمانی
Dirty Frag: Linux local privilege escalation vulnerability
مطالعه در Microsoft Security →[2]SANS Instituteمحققان امنیتی
Dirty Frag: A New Linux Kernel Vulnerability
مطالعه در SANS Institute →[3]Qualysمحققان امنیتی
Dirty Frag: Using the Page Caches as an Attack Surface
مطالعه در Qualys →[4]Akamaiارائهدهندگان زیرساخت ابری
"DirtyFrag" (CVE-2026-43500, CVE-2026-43284) Mitigations
مطالعه در Akamai →[5]Sysdigمحققان امنیتی
Dirty Frag (CVE-2026-43284, CVE-2026-43500): Linux LPE
مطالعه در Sysdig →[6]Picus Securityمحققان امنیتی
Dirty Frag Linux Vulnerability Explained
مطالعه در Picus Security →[7]Factlen Editorial Teamمدافعان سازمانی
Synthesis by Factlen editorial team
مطالعه در Factlen Editorial Team →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.









