امنیت لینوکستوضیح و تشریحJul 6, 2026, 8:24 PM· 6 دقیقه مطالعه· #1 از 2 در فناوری

بسته شواهد: نقص «بد اپول» چگونه کار می‌کند و مدافعان چگونه آن را خنثی می‌کنند

یک آسیب‌پذیری جدید هسته لینوکس که به «بد اپول» (Bad Epoll) معروف است، امکان ارتقاء امتیاز محلی به سطح روت (Root) را در سرورها و دستگاه‌های اندرویدی فراهم می‌کند. این بسته شواهد، وضعیت مسابقه (Race Condition) شش دستوری، چرایی عدم شناسایی آن توسط مدل‌های پیشرفته هوش مصنوعی، و نحوه استقرار وصله‌ها توسط جامعه متن‌باز را تشریح می‌کند.

به قلم تیم سردبیری کوهستان

محققان امنیتی 40%نگه‌دارندگان لینوکس 30%مدافعان سازمانی 30%
محققان امنیتی
تأکید بر پیچیدگی فنی وضعیت‌های مسابقه و ضرورت مداوم تحلیل آسیب‌پذیری انسانی در کنار ابزارهای هوش مصنوعی.
نگه‌دارندگان لینوکس
تمرکز بر دشواری معماری وصله‌گذاری اجزای اصلی هسته بدون ایجاد اختلال در پایداری سیستم.
مدافعان سازمانی
اولویت‌بندی موجودی سریع و وصله‌گذاری در سراسر ناوگان سرورها و پروفایل‌های مدیریت دستگاه‌های موبایل.

چرا مهم است

در حالی که آسیب‌پذیری «بد اپول» دسترسی عمیق به سیستم را فراهم می‌کند، کشف آن یک نقشه راه حیاتی برای ایمن‌سازی اجزای اصلی سیستم‌عامل در برابر وضعیت‌های مسابقه ارائه می‌دهد. درک اینکه چگونه این نقص از تشخیص هوش مصنوعی فرار کرده است، مدافعان را قادر می‌سازد تا تست‌های امنیتی خود را اصلاح کرده و وصله‌های اکنون موجود را به سرعت در سراسر ناوگان لینوکس و اندروید مستقر کنند.

نکات کلیدی

  • «بد اپول» (CVE-2026-46242) یک وضعیت مسابقه (Race Condition) حیاتی از نوع استفاده پس از آزادسازی (use-after-free) در زیرسیستم epoll هسته لینوکس است.
  • این نقص به کاربران محلی بدون امتیاز اجازه می‌دهد تا دسترسی کامل روت (Root) را در سرورهای لینوکس، دسکتاپ‌ها و دستگاه‌های اندرویدی به دست آورند.
  • وضعیت مسابقه در یک پنجره میکروسکوپی شش دستوری رخ می‌دهد، اما یک اکسپلویت عمومی به قابلیت اطمینان ۹۹٪ دست می‌یابد.
  • هوش مصنوعی میتوس (Mythos) آنتروپیک یک باگ خواهر در همان کد پیدا کرد اما «بد اپول» را نادیده گرفت زیرا به ندرت ردیاب‌های خطای حافظه را فعال می‌کند.
  • وصله‌ها اکنون برای نسخه‌های آسیب‌دیده هسته لینوکس (۶.۴ و جدیدتر) در دسترس هستند و از مدیران خواسته می‌شود فوراً به‌روزرسانی کنند.
v6.4+
نسخه‌های آسیب‌پذیر هسته لینوکس
6 instructions
عرض پنجره وضعیت مسابقه (Race Condition)
99%
قابلیت اطمینان اکسپلویت در سیستم‌های تست‌شده
$71,337
مبلغ جایزه پرداختی kernelCTF گوگل

یک آسیب‌پذیری جدید در هسته لینوکس، که «بد اپول» (Bad Epoll) نامیده می‌شود (با شناسه CVE-2026-46242)، به عنوان آزمونی حیاتی برای امنیت سیستم‌عامل‌های مدرن و محدودیت‌های شکار خودکار باگ‌ها مطرح شده است. این نقص که توسط محقق امنیتی، جه‌یانگ چونگ (Jaeyoung Chung) از دانشگاه ملی سئول کشف شد، به یک کاربر محلی بدون امتیاز اجازه می‌دهد تا دسترسی خود را به سطح کامل روت (Root) ارتقا دهد. از آنجایی که این آسیب‌پذیری در یک جزء اصلی هسته قرار دارد، اکوسیستم گسترده‌ای از سرورهای سازمانی لینوکس و توزیع‌های دسکتاپ گرفته تا میلیاردها گوشی هوشمند اندرویدی را تحت تأثیر قرار می‌دهد. انتشار عمومی یک اکسپلویت اثبات مفهوم (PoC) جدول زمانی مدافعان را تسریع کرده و یک خطر نظری را به یک دستور فوری برای وصله‌گذاری تبدیل کرده است.[1][3]

مکانیسم پشت «بد اپول» یک وضعیت مسابقه (Race Condition) بسیار خاص از نوع «استفاده پس از آزادسازی» (Use-After-Free) است که در زیرسیستم `epoll` هسته قرار دارد. تسهیلات `epoll` یک مکانیسم اعلان رویداد ورودی/خروجی (I/O) است که به برنامه‌ها اجازه می‌دهد تا به طور کارآمد چندین توصیف‌گر فایل را برای بررسی امکان انجام عملیات I/O نظارت کنند. طبق افشاگری‌های فنی، آسیب‌پذیری زمانی فعال می‌شود که دو بخش از هسته به طور همزمان تلاش می‌کنند تا یک شیء داخلی یکسان را پاکسازی کنند. اگر یک لیست رویدادپولی (eventpoll list) لیست دیگری را نظارت کند و هر دو در یک لحظه دقیق بسته شوند، یک فرآیند حافظه شیء را آزاد می‌کند در حالی که دیگری به نوشتن در آن ادامه می‌دهد. این برخورد گذرا حافظه هسته را خراب می‌کند و به مهاجم اهرمی می‌دهد که برای ربودن جریان اجرای سیستم لازم است.[1][2][4]

آنچه «بد اپول» را به ویژه قابل توجه می‌کند، حاشیه خطای میکروسکوپی مورد نیاز برای بهره‌برداری از آن است. پنجره زمانی که در آن دو مسیر اجرا با هم برخورد می‌کنند، به طور استثنایی باریک است—فقط حدود شش دستورالعمل ماشین را در بر می‌گیرد. در شرایط عادی، یک تلاش تصادفی برای فعال کردن این برخورد تقریباً مطمئناً شکست می‌خورد. با این حال، اکسپلویت اثبات مفهوم چونگ به طور مصنوعی این پنجره را گسترش می‌دهد و از یک حلقه تکرار مجدد بدون خرابی استفاده می‌کند. با تلاش مکرر برای ایجاد وضعیت مسابقه بدون ایجاد وحشت هسته (kernel panic)، این اکسپلویت به نرخ قابل توجه ۹۹٪ قابلیت اطمینان در سیستم‌های تست‌شده دست می‌یابد، و یک مورد حاشیه‌ای نظری را به یک سلاح قطعی تبدیل می‌کند.[2][3][4]

تأثیر «بد اپول» به دلیل ادغام عمیق آن در سیستم‌عامل، بسیار فراتر از باگ‌های استاندارد ارتقاء امتیاز لینوکس است. بسیاری از آسیب‌پذیری‌های هسته به ماژول‌های اختیاری متکی هستند که مدیران می‌توانند برای کاهش تهدید، به سادگی آن‌ها را بارگیری یا غیرفعال کنند. با این حال، زیرسیستم `epoll` یک ویژگی دائمی و داخلی است که سیستم‌عامل، سرویس‌های شبکه و مرورگرهای وب همگی اساساً به آن وابسته هستند. در نتیجه، هیچ «کلید خاموش» ساده یا راه‌حل پیکربندی در دسترس نیست؛ تنها راهکار قطعی، اعمال وصله هسته اصلی است.[2][4][6]

این پایداری معماری دقیقاً همان دلیلی است که «بد اپول» یک تهدید منحصر به فرد برای اکوسیستم اندروید ایجاد می‌کند. از حدود ۱۳۰ آسیب‌پذیری که قبلاً در پلتفرم kernelCTF گوگل مورد بهره‌برداری قرار گرفته‌اند، تنها حدود ده مورد دارای ویژگی‌های لازم برای دستیابی به دسترسی روت در دستگاه‌های اندرویدی بودند. «بد اپول» به این دسته نادر می‌پیوندد. علاوه بر این، محققان خاطرنشان می‌کنند که این آسیب‌پذیری می‌تواند از داخل سندباکس (Sandbox) بسیار محدود رندرکننده کروم قابل دسترسی باشد. این امر احتمال هشداردهنده‌ای را مطرح می‌کند که یک مهاجم می‌تواند یک اکسپلویت مرورگر را با «بد اپول» زنجیره‌ای کند تا از سندباکس خارج شده و اجرای کامل کد هسته را به دست آورد.[1][3][4]

این پایداری معماری دقیقاً همان دلیلی است که «بد اپول» یک تهدید منحصر به فرد برای اکوسیستم اندروید ایجاد می‌کند.

فراتر از مکانیک فنی، کشف «بد اپول» یک مطالعه موردی جذاب در مورد محدودیت‌های فعلی هوش مصنوعی در امنیت سایبری ارائه می‌دهد. این آسیب‌پذیری به یک کامیت (commit) واحد در هسته لینوکس در سال ۲۰۲۳ بازمی‌گردد که به طور ناخواسته دو وضعیت مسابقه جداگانه را در یک بخش ۲۵۰۰ خطی از کد `epoll` معرفی کرد. اولین نقص از این دو، که با شناسه CVE-2026-43074 ردیابی می‌شود، اوایل امسال با موفقیت توسط مدل هوش مصنوعی پیشرفته آنتروپیک (Anthropic)، به نام میتوس (Mythos)، کشف و گزارش شد. موفقیت این هوش مصنوعی به عنوان یک نقطه عطف برای تحقیقات خودکار آسیب‌پذیری مورد ستایش قرار گرفت.[1][2][4]

با این حال، همان مدل هوش مصنوعی به طور کامل «بد اپول» را که در مجاورت باگ اول قرار داشت، نادیده گرفت. محققان امنیتی این نقطه کور را به نحوه تعامل «بد اپول» با ابزارهای تشخیصی هسته نسبت می‌دهند. به دلیل پنجره زمانی فوق‌العاده باریک آن، «بد اپول» به ندرت Kernel Address Sanitizer (KASAN)—ردیاب اصلی خطای حافظه پویا که توسط توسعه‌دهندگان و عوامل هوش مصنوعی برای شناسایی خرابی حافظه در زمان اجرا استفاده می‌شود—را فعال می‌کند. بدون اینکه KASAN سیگنال خطای واضحی تولید کند، هوش مصنوعی فاقد شواهد زمان اجرای لازم برای علامت‌گذاری ناهنجاری بود و کشف آن را به شهود انسانی و تحلیل دستی دقیق واگذار کرد.[1][2][4]

عنصر انسانی در توسعه راه‌حل نیز به همان اندازه ضروری بود. رفع وضعیت‌های مسابقه به دلیل دخالت تغییرات پیچیده و ناهمزمان حالت، به طور بدنامی دشوار است. هنگامی که «بد اپول» برای اولین بار به عنوان یک ارسال روز صفر (zero-day) به برنامه kernelCTF گوگل گزارش شد—که برای چونگ جایزه‌ای بیش از ۷۱,۳۳۷ دلار به همراه داشت—وصله اولیه پیشنهادی توسط نگه‌دارندگان هسته نتوانست مشکل همگام‌سازی زیربنایی را به طور کامل حل کند. تقریباً دو ماه مهندسی مشترک طول کشید تا یک راه‌حل جامع و صحیح ارائه شود، که دشواری عظیم ایمن‌سازی اصول اولیه سیستم‌عامل را برجسته می‌کند.[2][3][4]

با عمومی شدن اکسپلویت اثبات مفهوم، تمرکز به طور کامل به دفاع و اصلاح تغییر کرده است. این آسیب‌پذیری توزیع‌های لینوکس را که از نسخه‌های هسته ۶.۴ و جدیدتر استفاده می‌کنند، تحت تأثیر قرار می‌دهد، زیرا هسته‌های قدیمی‌تر حاوی کامیت معیوب سال ۲۰۲۳ نیستند. فروشندگان اصلی لینوکس، از جمله دبیان، ردهت، سوزه و اوبونتو، قبلاً کد اصلاح شده را در خطوط لوله به‌روزرسانی امنیتی خود ادغام کرده‌اند. ارائه‌دهندگان زیرساخت ابری و خدمات میزبانی نیز به طور مشابه شروع به عرضه هسته‌های ماشین مجازی به‌روز شده کرده‌اند و از مشتریان می‌خواهند تا برای اعمال محافظت‌ها، نمونه‌های خود را مجدداً راه‌اندازی کنند.[1][5][6]

برای مدافعان سازمانی و مدیران سیستم، دستور کار واضح است: موجودی سیستم‌ها را برای نسخه‌های آسیب‌پذیر هسته بررسی کرده و وصله‌گذاری را در اولویت قرار دهند. در حالی که در حال حاضر هیچ شواهدی مبنی بر بهره‌برداری فعال از «بد اپول» توسط عوامل مخرب در محیط واقعی وجود ندارد، در دسترس بودن یک PoC بسیار قابل اعتماد، مانع ورود مهاجمان را به طور قابل توجهی کاهش می‌دهد. آژانس‌های امنیت سایبری دولتی، از جمله مرکز هماهنگی تیم واکنش اضطراری رایانه‌ای هنگ کنگ (HKCERT)، هشدارهای تهدید بالا صادر کرده‌اند و توصیه می‌کنند برای کاهش خطر بالای حملات سایبری، اقدام فوری صورت گیرد.[1][5]

در نهایت، داستان «بد اپول» انعطاف‌پذیری مدل امنیتی متن‌باز را برجسته می‌کند. یک نقص حیاتی معرفی شد، هوش مصنوعی نیمی از مشکل را پیدا کرد، یک محقق انسانی بقیه را کشف کرد، و یک جامعه جهانی از توسعه‌دهندگان برای مهندسی یک راه‌حل قوی همکاری کردند. همانطور که سیستم‌عامل‌ها به طور فزاینده‌ای پیچیده می‌شوند، دفاع در برابر وضعیت‌های مسابقه پیچیده دقیقاً به این نوع رویکرد ترکیبی نیاز دارد—استفاده از مقیاس ابزارهای خودکار در حالی که بر تخصص عمیق و زمینه‌ای محققان انسانی برای ایمن‌سازی لایه‌های بنیادی دنیای دیجیتال تکیه می‌شود.[2][3][4]

آنچه نمی‌دانیم

  • هنوز مشخص نیست که آیا گروه‌های تهدید پیشرفته و مداوم (APT) قبل از افشای عمومی، «بد اپول» را کشف و استفاده کرده‌اند یا خیر.
  • جدول زمانی دقیق برای زمانی که همه تولیدکنندگان اصلی گوشی‌های هوشمند اندرویدی وصله هسته اصلی را به دستگاه‌های کاربر نهایی ارائه خواهند کرد، هنوز در حال توسعه است.
  • محققان هنوز در حال بررسی این موضوع هستند که آیا سایر زیرسیستم‌های اصلی هسته که در سال‌های اخیر معرفی شده‌اند، دارای وضعیت‌های مسابقه مشابه و بسیار محدود هستند یا خیر.

منابع

پوشش منابع

6 منبع

3 دیدگاه شناسایی‌شده

محققان امنیتی 40%نگه‌دارندگان لینوکس 30%مدافعان سازمانی 30%
  1. [1]SecurityWeekمحققان امنیتی

    Exploit for 'Bad Epoll' Linux kernel vulnerability (CVE-2026-46242) can lead to root access on desktops, servers, and Android phones

    مطالعه در SecurityWeek
  2. [2]The Hacker Newsنگه‌دارندگان لینوکس

    Bad Epoll (CVE-2026-46242) is a use-after-free race in the Linux kernel that lets a local user gain root on Linux and Android

    مطالعه در The Hacker News
  3. [3]Seoul National University Computer Security Labمحققان امنیتی

    Bad Epoll: The bug missed by Mythos

    مطالعه در Seoul National University Computer Security Lab
  4. [4]Simply Secure Groupمدافعان سازمانی

    Bad Epoll Vulnerability Allows Root Access

    مطالعه در Simply Secure Group
  5. [5]HKCERTمدافعان سازمانی

    High Threat Security Alert: Vulnerability in Linux Kernel

    مطالعه در HKCERT
  6. [6]RimuHostingمدافعان سازمانی

    A newly disclosed flaw in the Linux kernel's traffic-control subsystem, assigned CVE-2026-46242, and known as Bad Epoll

    مطالعه در RimuHosting
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.