بسته شواهد: نقص «بد اپول» چگونه کار میکند و مدافعان چگونه آن را خنثی میکنند
یک آسیبپذیری جدید هسته لینوکس که به «بد اپول» (Bad Epoll) معروف است، امکان ارتقاء امتیاز محلی به سطح روت (Root) را در سرورها و دستگاههای اندرویدی فراهم میکند. این بسته شواهد، وضعیت مسابقه (Race Condition) شش دستوری، چرایی عدم شناسایی آن توسط مدلهای پیشرفته هوش مصنوعی، و نحوه استقرار وصلهها توسط جامعه متنباز را تشریح میکند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- محققان امنیتی
- تأکید بر پیچیدگی فنی وضعیتهای مسابقه و ضرورت مداوم تحلیل آسیبپذیری انسانی در کنار ابزارهای هوش مصنوعی.
- نگهدارندگان لینوکس
- تمرکز بر دشواری معماری وصلهگذاری اجزای اصلی هسته بدون ایجاد اختلال در پایداری سیستم.
- مدافعان سازمانی
- اولویتبندی موجودی سریع و وصلهگذاری در سراسر ناوگان سرورها و پروفایلهای مدیریت دستگاههای موبایل.
چرا مهم است
در حالی که آسیبپذیری «بد اپول» دسترسی عمیق به سیستم را فراهم میکند، کشف آن یک نقشه راه حیاتی برای ایمنسازی اجزای اصلی سیستمعامل در برابر وضعیتهای مسابقه ارائه میدهد. درک اینکه چگونه این نقص از تشخیص هوش مصنوعی فرار کرده است، مدافعان را قادر میسازد تا تستهای امنیتی خود را اصلاح کرده و وصلههای اکنون موجود را به سرعت در سراسر ناوگان لینوکس و اندروید مستقر کنند.
نکات کلیدی
- «بد اپول» (CVE-2026-46242) یک وضعیت مسابقه (Race Condition) حیاتی از نوع استفاده پس از آزادسازی (use-after-free) در زیرسیستم epoll هسته لینوکس است.
- این نقص به کاربران محلی بدون امتیاز اجازه میدهد تا دسترسی کامل روت (Root) را در سرورهای لینوکس، دسکتاپها و دستگاههای اندرویدی به دست آورند.
- وضعیت مسابقه در یک پنجره میکروسکوپی شش دستوری رخ میدهد، اما یک اکسپلویت عمومی به قابلیت اطمینان ۹۹٪ دست مییابد.
- هوش مصنوعی میتوس (Mythos) آنتروپیک یک باگ خواهر در همان کد پیدا کرد اما «بد اپول» را نادیده گرفت زیرا به ندرت ردیابهای خطای حافظه را فعال میکند.
- وصلهها اکنون برای نسخههای آسیبدیده هسته لینوکس (۶.۴ و جدیدتر) در دسترس هستند و از مدیران خواسته میشود فوراً بهروزرسانی کنند.
یک آسیبپذیری جدید در هسته لینوکس، که «بد اپول» (Bad Epoll) نامیده میشود (با شناسه CVE-2026-46242)، به عنوان آزمونی حیاتی برای امنیت سیستمعاملهای مدرن و محدودیتهای شکار خودکار باگها مطرح شده است. این نقص که توسط محقق امنیتی، جهیانگ چونگ (Jaeyoung Chung) از دانشگاه ملی سئول کشف شد، به یک کاربر محلی بدون امتیاز اجازه میدهد تا دسترسی خود را به سطح کامل روت (Root) ارتقا دهد. از آنجایی که این آسیبپذیری در یک جزء اصلی هسته قرار دارد، اکوسیستم گستردهای از سرورهای سازمانی لینوکس و توزیعهای دسکتاپ گرفته تا میلیاردها گوشی هوشمند اندرویدی را تحت تأثیر قرار میدهد. انتشار عمومی یک اکسپلویت اثبات مفهوم (PoC) جدول زمانی مدافعان را تسریع کرده و یک خطر نظری را به یک دستور فوری برای وصلهگذاری تبدیل کرده است.[1][3]
مکانیسم پشت «بد اپول» یک وضعیت مسابقه (Race Condition) بسیار خاص از نوع «استفاده پس از آزادسازی» (Use-After-Free) است که در زیرسیستم `epoll` هسته قرار دارد. تسهیلات `epoll` یک مکانیسم اعلان رویداد ورودی/خروجی (I/O) است که به برنامهها اجازه میدهد تا به طور کارآمد چندین توصیفگر فایل را برای بررسی امکان انجام عملیات I/O نظارت کنند. طبق افشاگریهای فنی، آسیبپذیری زمانی فعال میشود که دو بخش از هسته به طور همزمان تلاش میکنند تا یک شیء داخلی یکسان را پاکسازی کنند. اگر یک لیست رویدادپولی (eventpoll list) لیست دیگری را نظارت کند و هر دو در یک لحظه دقیق بسته شوند، یک فرآیند حافظه شیء را آزاد میکند در حالی که دیگری به نوشتن در آن ادامه میدهد. این برخورد گذرا حافظه هسته را خراب میکند و به مهاجم اهرمی میدهد که برای ربودن جریان اجرای سیستم لازم است.[1][2][4]
آنچه «بد اپول» را به ویژه قابل توجه میکند، حاشیه خطای میکروسکوپی مورد نیاز برای بهرهبرداری از آن است. پنجره زمانی که در آن دو مسیر اجرا با هم برخورد میکنند، به طور استثنایی باریک است—فقط حدود شش دستورالعمل ماشین را در بر میگیرد. در شرایط عادی، یک تلاش تصادفی برای فعال کردن این برخورد تقریباً مطمئناً شکست میخورد. با این حال، اکسپلویت اثبات مفهوم چونگ به طور مصنوعی این پنجره را گسترش میدهد و از یک حلقه تکرار مجدد بدون خرابی استفاده میکند. با تلاش مکرر برای ایجاد وضعیت مسابقه بدون ایجاد وحشت هسته (kernel panic)، این اکسپلویت به نرخ قابل توجه ۹۹٪ قابلیت اطمینان در سیستمهای تستشده دست مییابد، و یک مورد حاشیهای نظری را به یک سلاح قطعی تبدیل میکند.[2][3][4]
تأثیر «بد اپول» به دلیل ادغام عمیق آن در سیستمعامل، بسیار فراتر از باگهای استاندارد ارتقاء امتیاز لینوکس است. بسیاری از آسیبپذیریهای هسته به ماژولهای اختیاری متکی هستند که مدیران میتوانند برای کاهش تهدید، به سادگی آنها را بارگیری یا غیرفعال کنند. با این حال، زیرسیستم `epoll` یک ویژگی دائمی و داخلی است که سیستمعامل، سرویسهای شبکه و مرورگرهای وب همگی اساساً به آن وابسته هستند. در نتیجه، هیچ «کلید خاموش» ساده یا راهحل پیکربندی در دسترس نیست؛ تنها راهکار قطعی، اعمال وصله هسته اصلی است.[2][4][6]
این پایداری معماری دقیقاً همان دلیلی است که «بد اپول» یک تهدید منحصر به فرد برای اکوسیستم اندروید ایجاد میکند. از حدود ۱۳۰ آسیبپذیری که قبلاً در پلتفرم kernelCTF گوگل مورد بهرهبرداری قرار گرفتهاند، تنها حدود ده مورد دارای ویژگیهای لازم برای دستیابی به دسترسی روت در دستگاههای اندرویدی بودند. «بد اپول» به این دسته نادر میپیوندد. علاوه بر این، محققان خاطرنشان میکنند که این آسیبپذیری میتواند از داخل سندباکس (Sandbox) بسیار محدود رندرکننده کروم قابل دسترسی باشد. این امر احتمال هشداردهندهای را مطرح میکند که یک مهاجم میتواند یک اکسپلویت مرورگر را با «بد اپول» زنجیرهای کند تا از سندباکس خارج شده و اجرای کامل کد هسته را به دست آورد.[1][3][4]
این پایداری معماری دقیقاً همان دلیلی است که «بد اپول» یک تهدید منحصر به فرد برای اکوسیستم اندروید ایجاد میکند.
فراتر از مکانیک فنی، کشف «بد اپول» یک مطالعه موردی جذاب در مورد محدودیتهای فعلی هوش مصنوعی در امنیت سایبری ارائه میدهد. این آسیبپذیری به یک کامیت (commit) واحد در هسته لینوکس در سال ۲۰۲۳ بازمیگردد که به طور ناخواسته دو وضعیت مسابقه جداگانه را در یک بخش ۲۵۰۰ خطی از کد `epoll` معرفی کرد. اولین نقص از این دو، که با شناسه CVE-2026-43074 ردیابی میشود، اوایل امسال با موفقیت توسط مدل هوش مصنوعی پیشرفته آنتروپیک (Anthropic)، به نام میتوس (Mythos)، کشف و گزارش شد. موفقیت این هوش مصنوعی به عنوان یک نقطه عطف برای تحقیقات خودکار آسیبپذیری مورد ستایش قرار گرفت.[1][2][4]
با این حال، همان مدل هوش مصنوعی به طور کامل «بد اپول» را که در مجاورت باگ اول قرار داشت، نادیده گرفت. محققان امنیتی این نقطه کور را به نحوه تعامل «بد اپول» با ابزارهای تشخیصی هسته نسبت میدهند. به دلیل پنجره زمانی فوقالعاده باریک آن، «بد اپول» به ندرت Kernel Address Sanitizer (KASAN)—ردیاب اصلی خطای حافظه پویا که توسط توسعهدهندگان و عوامل هوش مصنوعی برای شناسایی خرابی حافظه در زمان اجرا استفاده میشود—را فعال میکند. بدون اینکه KASAN سیگنال خطای واضحی تولید کند، هوش مصنوعی فاقد شواهد زمان اجرای لازم برای علامتگذاری ناهنجاری بود و کشف آن را به شهود انسانی و تحلیل دستی دقیق واگذار کرد.[1][2][4]
عنصر انسانی در توسعه راهحل نیز به همان اندازه ضروری بود. رفع وضعیتهای مسابقه به دلیل دخالت تغییرات پیچیده و ناهمزمان حالت، به طور بدنامی دشوار است. هنگامی که «بد اپول» برای اولین بار به عنوان یک ارسال روز صفر (zero-day) به برنامه kernelCTF گوگل گزارش شد—که برای چونگ جایزهای بیش از ۷۱,۳۳۷ دلار به همراه داشت—وصله اولیه پیشنهادی توسط نگهدارندگان هسته نتوانست مشکل همگامسازی زیربنایی را به طور کامل حل کند. تقریباً دو ماه مهندسی مشترک طول کشید تا یک راهحل جامع و صحیح ارائه شود، که دشواری عظیم ایمنسازی اصول اولیه سیستمعامل را برجسته میکند.[2][3][4]
با عمومی شدن اکسپلویت اثبات مفهوم، تمرکز به طور کامل به دفاع و اصلاح تغییر کرده است. این آسیبپذیری توزیعهای لینوکس را که از نسخههای هسته ۶.۴ و جدیدتر استفاده میکنند، تحت تأثیر قرار میدهد، زیرا هستههای قدیمیتر حاوی کامیت معیوب سال ۲۰۲۳ نیستند. فروشندگان اصلی لینوکس، از جمله دبیان، ردهت، سوزه و اوبونتو، قبلاً کد اصلاح شده را در خطوط لوله بهروزرسانی امنیتی خود ادغام کردهاند. ارائهدهندگان زیرساخت ابری و خدمات میزبانی نیز به طور مشابه شروع به عرضه هستههای ماشین مجازی بهروز شده کردهاند و از مشتریان میخواهند تا برای اعمال محافظتها، نمونههای خود را مجدداً راهاندازی کنند.[1][5][6]
برای مدافعان سازمانی و مدیران سیستم، دستور کار واضح است: موجودی سیستمها را برای نسخههای آسیبپذیر هسته بررسی کرده و وصلهگذاری را در اولویت قرار دهند. در حالی که در حال حاضر هیچ شواهدی مبنی بر بهرهبرداری فعال از «بد اپول» توسط عوامل مخرب در محیط واقعی وجود ندارد، در دسترس بودن یک PoC بسیار قابل اعتماد، مانع ورود مهاجمان را به طور قابل توجهی کاهش میدهد. آژانسهای امنیت سایبری دولتی، از جمله مرکز هماهنگی تیم واکنش اضطراری رایانهای هنگ کنگ (HKCERT)، هشدارهای تهدید بالا صادر کردهاند و توصیه میکنند برای کاهش خطر بالای حملات سایبری، اقدام فوری صورت گیرد.[1][5]
در نهایت، داستان «بد اپول» انعطافپذیری مدل امنیتی متنباز را برجسته میکند. یک نقص حیاتی معرفی شد، هوش مصنوعی نیمی از مشکل را پیدا کرد، یک محقق انسانی بقیه را کشف کرد، و یک جامعه جهانی از توسعهدهندگان برای مهندسی یک راهحل قوی همکاری کردند. همانطور که سیستمعاملها به طور فزایندهای پیچیده میشوند، دفاع در برابر وضعیتهای مسابقه پیچیده دقیقاً به این نوع رویکرد ترکیبی نیاز دارد—استفاده از مقیاس ابزارهای خودکار در حالی که بر تخصص عمیق و زمینهای محققان انسانی برای ایمنسازی لایههای بنیادی دنیای دیجیتال تکیه میشود.[2][3][4]
آنچه نمیدانیم
- هنوز مشخص نیست که آیا گروههای تهدید پیشرفته و مداوم (APT) قبل از افشای عمومی، «بد اپول» را کشف و استفاده کردهاند یا خیر.
- جدول زمانی دقیق برای زمانی که همه تولیدکنندگان اصلی گوشیهای هوشمند اندرویدی وصله هسته اصلی را به دستگاههای کاربر نهایی ارائه خواهند کرد، هنوز در حال توسعه است.
- محققان هنوز در حال بررسی این موضوع هستند که آیا سایر زیرسیستمهای اصلی هسته که در سالهای اخیر معرفی شدهاند، دارای وضعیتهای مسابقه مشابه و بسیار محدود هستند یا خیر.
منابع
[1]SecurityWeekمحققان امنیتی
Exploit for 'Bad Epoll' Linux kernel vulnerability (CVE-2026-46242) can lead to root access on desktops, servers, and Android phones
مطالعه در SecurityWeek →[2]The Hacker Newsنگهدارندگان لینوکس
Bad Epoll (CVE-2026-46242) is a use-after-free race in the Linux kernel that lets a local user gain root on Linux and Android
مطالعه در The Hacker News →[3]Seoul National University Computer Security Labمحققان امنیتی
Bad Epoll: The bug missed by Mythos
مطالعه در Seoul National University Computer Security Lab →[4]Simply Secure Groupمدافعان سازمانی
Bad Epoll Vulnerability Allows Root Access
مطالعه در Simply Secure Group →[5]HKCERTمدافعان سازمانی
High Threat Security Alert: Vulnerability in Linux Kernel
مطالعه در HKCERT →[6]RimuHostingمدافعان سازمانی
A newly disclosed flaw in the Linux kernel's traffic-control subsystem, assigned CVE-2026-46242, and known as Bad Epoll
مطالعه در RimuHosting →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.








