توضیح کوهستانامنیت لینوکستوضیح و تحلیلJul 11, 2026, 2:20 PM· 7 دقیقه مطالعه· #1 از 2 در فناوری

بسته شواهد: چگونه نقص «Dirty Frag» دسترسی روت مطمئن را در سراسر لینوکس سازمانی فراهم می‌کند

یک کلاس آسیب‌پذیری که اخیراً فاش شده و با نام «Dirty Frag» شناخته می‌شود، به کاربران محلی فاقد امتیاز اجازه می‌دهد تا در اکثر توزیع‌های اصلی لینوکس، دسترسی کامل روت (Root) را به دست آورند. مهاجمان با زنجیره‌ای کردن دو نقص هسته (Kernel)، می‌توانند به طور مطمئن فایل‌های فقط خواندنی را در حافظه بازنویسی کنند، که این امر مستلزم اقدامات فوری برای کاهش خطر در محیط‌های سازمانی و ابری است.

به قلم تیم سردبیری کوهستان

محققان امنیتی 40%مدافعان سازمانی 35%ارائه‌دهندگان زیرساخت ابری 25%
محققان امنیتی
تمرکز بر مکانیسم اکسپلویت، ماهیت قطعی نقص منطقی و کاهش زمان دوره‌های امبارگو (ممنوعیت انتشار).
مدافعان سازمانی
اولویت‌بندی کاهش فوری خطر و دست و پنجه نرم کردن با بده‌بستان‌های عملیاتی ناشی از مسدودسازی ماژول‌های حیاتی VPN.
ارائه‌دهندگان زیرساخت ابری
تأکید بر خطر فرار از کانتینر در محیط‌های چندمستأجری و نیاز به وصله‌زنی خودکار در سطح ناوگان.

زوایای پوشش‌داده‌نشده

  • · کاربران نهایی که دسترسی VPN آن‌ها در طول اقدامات اضطراری کاهش خطر به طور ناگهانی قطع شد
  • · نگهدارندگان پشته شبکه‌سازی هسته لینوکس

چرا مهم است

«Dirty Frag» یک دسترسی محلی جزئی را با اطمینان تقریباً کامل به کنترل کامل سیستم تبدیل می‌کند و مرزهای سنتی کانتینرها را دور می‌زند. برای تیم‌های فناوری اطلاعات سازمانی، درک مکانیسم این نقص برای ایجاد تعادل بین کاهش فوری خطر و احتمال از کار افتادن زیرساخت‌های حیاتی VPN ضروری است.

نکات کلیدی

  • Dirty Frag یک آسیب‌پذیری بسیار قابل اعتماد برای ارتقاء امتیاز محلی در لینوکس است که دو نقص متمایز هسته را به هم زنجیره می‌کند.
  • این اکسپلویت هسته را فریب می‌دهد تا عملیات رمزنگاری درجا را مستقیماً روی حافظه کش صفحه فقط خواندنی انجام دهد.
  • مهاجمان می‌توانند فایل‌های حیاتی سیستم مانند /etc/passwd را بازنویسی کنند تا دسترسی روت را بدون ایجاد خرابی سیستم به دست آورند.
  • این آسیب‌پذیری زودتر از موعد پس از شکسته شدن یک امبارگوی هماهنگ فاش شد و انتشار زودهنگام یک اثبات مفهوم را اجباری کرد.
  • اقدامات موقت کاهش خطر مستلزم مسدودسازی ماژول‌های IPsec و RxRPC است و سازمان‌ها را مجبور می‌کند بین امنیت و عملکرد VPN یکی را انتخاب کنند.
100%
قابلیت اطمینان اکسپلویت
2
CVEهای زنجیره‌ای شده
2017
سال معرفی کد آسیب‌پذیر

اکوسیستم لینوکس با یک چالش ساختاری جدی روبرو است که قلب امنیت سازمانی را هدف قرار می‌دهد. یک کلاس آسیب‌پذیری که اخیراً فاش شده و «Dirty Frag» نامیده می‌شود، نقص اساسی در نحوه مدیریت حافظه شبکه و کش فایل توسط هسته سیستم عامل را آشکار کرده است. با سوء استفاده از این ضعف، یک کاربر محلی فاقد امتیاز می‌تواند به طور مطمئن سطح دسترسی خود را به دسترسی کامل روت ارتقا دهد و عملاً کنترل کامل دستگاه را به دست گیرد. این کشف جامعه امنیت سایبری را شوکه کرده است، زیرا این نقص بررسی‌های سنتی مجوزها را دور می‌زند و تقریباً بر تمام توزیع‌های اصلی لینوکس، از جمله اوبونتو، رد هت و دبیان تأثیر می‌گذارد.[7]

اکسپلویت Dirty Frag که توسط محقق امنیتی مستقل، هیون‌وو کیم، کشف شده است، یک خطای واحد نیست، بلکه زنجیره‌ای از دو باگ مجزای با شدت بالا است: CVE-2026-43284 و CVE-2026-43500. اولین مورد در مسیرهای سریع رمزگشایی IPsec Encapsulating Security Payload (ESP) قرار دارد، در حالی که دومی در ماژول RxRPC که توسط سیستم فایل اندرو (Andrew File System) استفاده می‌شود، یافت شده است. با زنجیره‌ای کردن این دو آسیب‌پذیری، مهاجم می‌تواند نقاط کور محیطی توزیع‌های مختلف لینوکس را پوشش دهد و نرخ موفقیت تقریباً تضمین شده‌ای را در محیط‌های سرور متنوع تضمین کند.[2][6]

افشای «Dirty Frag» به طور قابل توجهی آشفته بود و فشار شدید پیرامون تحقیقات آسیب‌پذیری مدرن را برجسته کرد. در ابتدا، جزئیات تحت یک امبارگوی هماهنگ برای افشای مسئولانه نگهداری می‌شد تا به فروشندگان زمان داده شود تا وصله‌ها را آماده کنند، اما پس از اینکه یک شخص ثالث نامرتبط سکوت را شکست، جزئیات در ۷ می ۲۰۲۶ به اجبار در حوزه عمومی منتشر شد. این افشای زودهنگام منجر به انتشار یک اثبات مفهوم (Proof-of-Concept) کاملاً عملیاتی در فضای عمومی شد، پیش از آنکه توزیع‌های اصلی بتوانند به‌روزرسانی‌های هسته خود را نهایی و توزیع کنند، و مدافعان سازمانی را وادار کرد تا برای اعمال اقدامات موقت کاهش خطر دست و پا بزنند.[2][5]

برای درک مکانیسم «Dirty Frag»، باید به نسب آن نگاه کرد. این سومین آسیب‌پذیری عمده در خانواده رو به رشد اکسپلویت‌های «کش صفحه» (Page Cache) است که پس از «Dirty Pipe» بدنام در سال ۲۰۲۲ و «Copy Fail» در آوریل ۲۰۲۶ ظهور کرده است. هر سه آسیب‌پذیری منطق زیربنایی مشابهی دارند: آن‌ها بهینه‌سازی‌های طولانی‌مدت و درجا (in-place) پردازش در هسته را به ابزارهای روت قطعی تبدیل می‌کنند. این اکسپلویت‌ها به جای تکیه بر خرابی حافظه یا سرریز بافر، هسته را فریب می‌دهند تا از ویژگی‌های کارایی خود برای بازنویسی داده‌های محافظت شده استفاده کند.[2][3]

مکانیسم اصلی «Dirty Frag» به شدت بر کش صفحه لینوکس متکی است – بخشی اختصاصی و بسیار بهینه‌سازی شده از RAM که برای ذخیره موقت داده‌های بازیابی شده از هارد دیسک استفاده می‌شود و سرعت کلی دسترسی به فایل را به طور چشمگیری افزایش می‌دهد. هنگامی که یک کاربر یا یک برنامه یک فایل سیستمی حیاتی، مانند پایگاه داده رمز عبور واقع در `/etc/passwd` را می‌خواند، هسته یک کپی از آن فایل را مستقیماً در کش صفحه بارگذاری می‌کند. سپس تمام خواندن‌های بعدی مستقیماً از این کش حافظه سریع انجام می‌شود، نه از دیسک فیزیکی که به طور قابل توجهی کندتر است، و این امر تضمین می‌کند که سیستم عامل تحت بار سنگین پاسخگو باقی بماند.[3][6]

«Dirty Frag» از یک بهینه‌سازی عملکرد بسیار خاص که به عنوان شبکه‌سازی «کپی صفر» (Zero-Copy) شناخته می‌شود، سوء استفاده می‌کند. با استفاده از یک فراخوانی سیستمی به نام `splice()`، یک مهاجم می‌تواند به هسته دستور دهد تا یک صفحه کش صفحه فقط خواندنی را مستقیماً به ساختار بسته شبکه، که در داخل به عنوان قطعه `sk_buff` شناخته می‌شود، متصل کند. این مکانیسم کپی صفر برای انتقال کارآمد داده‌ها بدون کپی کردن آن به عقب و جلو بین فضای کاربر و فضای هسته طراحی شده است، اما به طور ناخواسته یک پل خطرناک بین بافرهای شبکه و فایل‌های کش شده ایجاد می‌کند.[3][4]

این دقیقاً همان جایی است که خطای منطقی حیاتی در خط لوله پردازش هسته رخ می‌دهد. کد هسته سمت گیرنده – به ویژه در ماژول‌های شبکه IPsec ESP و RxRPC – تحت این فرض سختگیرانه عمل می‌کند که هر داده‌ای که در داخل یک قطعه `sk_buff` قرار دارد، به خود پشته شبکه تعلق دارد.[1][3]

این دقیقاً همان جایی است که خطای منطقی حیاتی در خط لوله پردازش هسته رخ می‌دهد.

این کد کاملاً در تأیید اینکه آیا این قطعه در واقع یک ارجاع خام به یک صفحه کش صفحه مشترک و فقط خواندنی است، شکست می‌خورد. هسته با کورکورانه عمل کردن تحت این فرض غلط مالکیت خصوصی، عملیات عادی و بسیار ممتاز خود را بدون ایجاد هیچ گونه هشدار امنیتی ادامه می‌دهد.[3][6]

از آنجا که هسته معتقد است مالک داده است، عملیات رمزنگاری درجا – به ویژه رمزگشایی – را مستقیماً روی قطعه انجام می‌دهد. از آنجا که این قطعه صرفاً یک اشاره‌گر به کش صفحه فقط خواندنی است، هسته ناآگاهانه خروجی رمزگشایی شده را مستقیماً در فایل کش شده در RAM می‌نویسد.[6]

هر خواندن بعدی آن فایل توسط هر کاربر یا فرآیند سیستمی، کپی اصلاح شده و تحت کنترل مهاجم را مشاهده خواهد کرد و مجوزهای فقط خواندنی سیستم فایل را به طور کامل دور می‌زند.[5]

دقت این بازنویسی حافظه به طرز ویرانگری مؤثر است. مهاجمان می‌توانند خروجی رمزنگاری را با دقت دستکاری کنند تا بایت‌های خاصی را در فایل کش شده بنویسند. به عنوان مثال، محققان امنیتی نشان دادند که چگونه می‌توان از این اکسپلویت برای پاک کردن فیلد رمز عبور روت در `/etc/passwd` استفاده کرد و به سیستم اجازه داد تا یک رمز عبور خالی را بپذیرد.[1][4]

همچنین، می‌توان ۱۲۹ بایت اول باینری `/usr/bin/su` را با یک بار داده (Payload) قابل اجرا و قابل لینک‌دهی (ELF) سفارشی بازنویسی کرد و فوراً یک شل روت اعطا نمود.[3]

برخلاف آسیب‌پذیری‌های قدیمی‌تر هسته مانند Dirty COW، که متکی بر شرایط رقابتی (Race Conditions) محدود و پنجره‌های زمانی دقیق بودند، «Dirty Frag» کاملاً قطعی است. این اکسپلویت نیازی به برنده شدن مهاجم در یک رقابت پیچیده در برابر رشته‌های پردازشی CPU ندارد؛ بلکه صرفاً هسته را فریب می‌دهد تا یک جریان منطقی استاندارد را اجرا کند که موفقیت را تضمین می‌کند. این ماهیت قطعی منجر به نرخ اطمینان ۱۰۰ درصدی اکسپلویت با حداقل خطر ایجاد خرابی سیستم یا پانیک هسته می‌شود.[1][6]

این قابلیت اطمینان مطلق، «Dirty Frag» را به ابزاری فوق‌العاده قوی برای فرار از کانتینر تبدیل می‌کند. در محیط‌های ابری مدرن، برنامه‌ها اغلب در کانتینرهای سبک وزن ایزوله می‌شوند. با این حال، از آنجا که کانتینرها هسته میزبان زیرین را به اشتراک می‌گذارند، مهاجمی که یک کانتینر با امتیاز پایین را به خطر می‌اندازد – شاید از طریق یک برنامه وب آسیب‌پذیر – می‌تواند از «Dirty Frag» برای خراب کردن کش صفحه مشترک میزبان استفاده کند.[1][7]

تیم‌های فناوری اطلاعات سازمانی مجبور شدند بین اعمال اقدامات اضطراری برای کاهش خطر و حفظ زیرساخت‌های حیاتی VPN یکی را انتخاب کنند.
تیم‌های فناوری اطلاعات سازمانی مجبور شدند بین اعمال اقدامات اضطراری برای کاهش خطر و حفظ زیرساخت‌های حیاتی VPN یکی را انتخاب کنند.

این به مهاجم اجازه می‌دهد تا به طور کامل از محیط سندباکس خارج شده و کنترل گره سرور زیرین را به دست گیرد.[4]

ماهیت دوگانه اکسپلویت – زنجیره‌ای کردن باگ‌های ESP و RxRPC – یک انتخاب عمدی برای تضمین کاربرد جهانی بود. ثبت فضاهای نام شبکه لازم برای فعال کردن نقص ESP به امتیازات خاصی نیاز دارد که توسط ماژول‌های امنیتی مانند AppArmor در توزیع‌هایی مانند اوبونتو مسدود می‌شوند. با این حال، ماژول RxRPC یک جایگزین مطمئن را فراهم می‌کند که به این امتیازات فضای نام نیاز ندارد و نقاط کور محیطی را در توزیع‌های مختلف لینوکس به طور مؤثر پوشش می‌دهد.[4][7]

برای تیم‌های فناوری اطلاعات سازمانی، استراتژی فوری کاهش خطر یک معضل عملیاتی جدی ایجاد کرد. از آنجا که آسیب‌پذیری قبل از آماده شدن وصله‌ها فاش شد، دفاع اصلی اعمال یک لیست مسدودسازی بود که از بارگذاری ماژول‌های آسیب‌پذیر هسته `esp4`، `esp6` و `rxrpc` جلوگیری می‌کرد. در حالی که این کار تهدید را به طور مؤثر خنثی کرد، هزینه سنگینی داشت: غیرفعال کردن کامل ماژول‌های ESP عملکرد IPsec را مختل می‌کند، که پروتکل بنیادی برای بسیاری از شبکه‌های خصوصی مجازی (VPN) شرکتی است.[7]

روند رویداد

  1. ۲۰۱۷

    منطق رمزنگاری آسیب‌پذیر درجا به هسته لینوکس معرفی شد.

  2. آوریل ۲۰۲۶

    آسیب‌پذیری «Copy Fail» فاش شد و توجه محققان را به بردارهای خرابی کش صفحه جلب کرد.

  3. ۷ می ۲۰۲۶

    یک امبارگو شکسته شد و هیون‌وو کیم، محقق، مجبور شد Dirty Frag را به همراه یک اثبات مفهوم عملیاتی به صورت عمومی فاش کند.

  4. ۸ می ۲۰۲۶

    فروشندگان امنیتی و ارائه‌دهندگان ابری برای انتشار راهنمایی‌های کاهش خطر در حالی که بهره‌برداری فعال آغاز شده بود، دست و پا زدند.

بررسی عمیق دیدگاه‌ها

محققان امنیتی

تحلیل ضعف‌های ساختاری در بهینه‌سازی‌های هسته.

تحلیلگران امنیتی تأکید می‌کنند که Dirty Frag بخشی از یک تبار نگران‌کننده از آسیب‌پذیری‌های کش صفحه است. با سوء استفاده از بهینه‌سازی‌های شبکه‌سازی کپی صفر که لینوکس را بسیار کارآمد می‌کند، مهاجمان کارایی خود هسته را علیه آن به کار می‌گیرند. محققان خاطرنشان می‌کنند که برخلاف باگ‌های شرایط رقابتی، این نقص منطقی قطعی یک ابزار اکسپلویت ۱۰۰٪ قابل اعتماد را فراهم می‌کند، که آن را در دست بدافزارهای خودکار به شدت خطرناک می‌سازد.

مدافعان سازمانی

مدیریت معضل عملیاتی کاهش خطر.

برای مدیران فناوری اطلاعات، Dirty Frag بدترین سناریو را ارائه می‌دهد: یک اکسپلویت روز صفر با اثبات مفهوم عمومی و بدون وصله فوری. اقدام توصیه شده برای کاهش خطر – مسدودسازی ماژول‌های esp4 و esp6 – VPNهای IPsec را مختل می‌کند، که برای اتصال نیروی کار از راه دور حیاتی هستند. مدافعان استدلال می‌کنند که این امر سازمان‌ها را مجبور به یک بده‌بستان غیرقابل قبول بین ایمن‌سازی میزبان‌های کانتینر و حفظ عملیات اساسی کسب و کار می‌کند.

ارائه‌دهندگان ابری

ایمن‌سازی زیرساخت‌های چندمستأجری در برابر فرار از کانتینر.

اپراتورهای ابری و موتور کوبرنتیس، Dirty Frag را در درجه اول به عنوان یک تهدید فرار از کانتینر می‌بینند. از آنجا که این آسیب‌پذیری به یک کاربر فاقد امتیاز اجازه می‌دهد تا کش صفحه مشترک میزبان را خراب کند، یک کانتینر به خطر افتاده می‌تواند به راحتی به دسترسی روت در گره زیرین دست یابد. ارائه‌دهندگان مجبور شدند به سرعت اقدامات کاهش خطر DaemonSet را مستقر کنند و بازیافت گره را اجباری سازند تا معماری‌های چندمستأجری خود را قبل از نهایی شدن وصله‌های رسمی توزیع، محافظت کنند.

آنچه نمی‌دانیم

  • اینکه آیا شکسته شدن امبارگو که افشای زودهنگام را اجباری کرد، نتیجه یک نشت عمدی بود یا یک کشف موازی تصادفی.
  • میزان کامل اینکه گروه‌های تهدید پیشرفته و مداوم (APT) ممکن است قبل از افشای عمومی، این اکسپلویت را به سلاح تبدیل کرده باشند.

اصطلاحات کلیدی

کش صفحه (Page Cache)
بخشی از RAM که توسط هسته لینوکس برای ذخیره موقت داده‌های دیسک استفاده می‌شود و سرعت دسترسی به فایل را افزایش می‌دهد.
sk_buff (بافر سوکت)
ساختار داده بنیادی در هسته لینوکس که برای مدیریت بسته‌های شبکه در حین عبور از سیستم استفاده می‌شود.
کپی صفر (Zero-Copy)
یک بهینه‌سازی عملکرد که در آن هسته داده‌ها را مستقیماً بین مکان‌های حافظه جابجا می‌کند بدون اینکه آن را در فضای کاربر کپی کند.
IPsec ESP
پروتکلی که برای رمزگذاری و احراز هویت بسته‌های شبکه استفاده می‌شود و معمولاً در شبکه‌های خصوصی مجازی (VPN) کاربرد دارد.

پرسش‌های متداول

آیا Dirty Frag اجازه اجرای کد از راه دور را می‌دهد؟

خیر. مهاجم باید از قبل دسترسی محلی به سیستم داشته باشد، مانند از طریق یک حساب کاربری با امتیاز پایین، یک شل وب، یا یک کانتینر به خطر افتاده.

چرا این آسیب‌پذیری بسیار قابل اعتماد تلقی می‌شود؟

برخلاف نقص‌های قبلی که متکی بر زمان‌بندی دقیق بودند (شرایط رقابتی)، Dirty Frag یک خطای منطقی قطعی است. اگر ماژول‌های آسیب‌پذیر وجود داشته باشند، اکسپلویت به طور مداوم موفق می‌شود.

آیا می‌توانم فقط سیستم خود را وصله کنم تا مشکل برطرف شود؟

بله، توزیع‌های اصلی لینوکس هسته‌های وصله شده را منتشر کرده‌اند. با این حال، از آنجا که آسیب‌پذیری قبل از آماده شدن وصله‌ها فاش شد، بسیاری از سازمان‌ها مجبور به اعمال لیست‌های مسدودسازی موقت شدند.

منابع

پوشش منابع

7 منبع

3 دیدگاه شناسایی‌شده

محققان امنیتی 40%مدافعان سازمانی 35%ارائه‌دهندگان زیرساخت ابری 25%
  1. [1]Microsoft Securityمدافعان سازمانی

    Dirty Frag: Linux local privilege escalation vulnerability

    مطالعه در Microsoft Security
  2. [2]SANS Instituteمحققان امنیتی

    Dirty Frag: A New Linux Kernel Vulnerability

    مطالعه در SANS Institute
  3. [3]Qualysمحققان امنیتی

    Dirty Frag: Using the Page Caches as an Attack Surface

    مطالعه در Qualys
  4. [4]Akamaiارائه‌دهندگان زیرساخت ابری

    "DirtyFrag" (CVE-2026-43500, CVE-2026-43284) Mitigations

    مطالعه در Akamai
  5. [5]Sysdigمحققان امنیتی

    Dirty Frag (CVE-2026-43284, CVE-2026-43500): Linux LPE

    مطالعه در Sysdig
  6. [6]Picus Securityمحققان امنیتی

    Dirty Frag Linux Vulnerability Explained

    مطالعه در Picus Security
  7. [7]Factlen Editorial Teamمدافعان سازمانی

    Synthesis by Factlen editorial team

    مطالعه در Factlen Editorial Team
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.