چکیده
هسته لینوکس (Linux Kernel) به عنوان قلب تپنده زیرساختهای ابری، سرورها و سیستمهای نهفته، همواره هدف حملات پیچیده سایبری بوده است. این مقاله به تحلیل فنی سه دسته از آسیبپذیریهای بحرانی اخیر در لینوکس میپردازد:
افزایش امتیاز محلی (Local Privilege Escalation – LPE)
نقصهای حافظه (Memory Corruption)
بایپس سندباکس (Sandbox Bypass)
برای هر آسیبپذیری، بردار حمله (Attack Vector) ، شرایط بهرهبرداری (Exploitability) و راهکارهای عملی کاهش ریسک شامل seccomp-bpf و انژکتور کرنل (Kernel Lockdown) بررسی میشود. همچنین به جدیدترین روشهای دفاعی مانند تحلیل ایستای خودکار (SAST) مبتنی بر یادگیری ماشین اشاره خواهد شد.
________________________________________
- 1. مقدمه
در سالهای 2025 و 2026، بیش از 250 آسیبپذیری با درجه High و Critical در هسته لینوکس شناسایی شده است. روند رو به رشد آسیبپذیریهای Use-After-Free (UAF) و Race Conditions در زیرسیستمهای پیچیده مانند eBPF به ویژه ext4 نگرانی اصلی تیمهای امنیت زیرساخت است.
________________________________________
- 2. تحلیل سه آسیبپذیری بحرانی اخیر
2.1 CVE-2026-31431 – “CopyFail” در Crypto API
نوع: Local Privilege Escalation (LPE)
زیرسیستم: crypto/af_alg.c
علت ریشه: عدم اعتبارسنجی صحیح طول بافر در عملیات splice() بین سوکت ALG و لوله (pipe) منجر به Heap Out-of-Bounds Write میشود.
بردار حمله: مهاجم با دسترسی غیرمجاز (یک شل محدود) میتواند با ارسال درخواستهای خاص recvmsg() و splice()، محتوای هسته را بازنویسی کرده و شناسه فرآیند (PID) خود را به root (UID 0) تغییر دهد.
Exploit (مفهومی) : استفاده از تکنیک Cross-Cache Overflow برای کنترل شیء msg_msg و نفوذ به لیست زنجیرهای فرآیندها.
Mitigation:غیرفعال کردن ماژول CONFIG_CRYPTO_USER_API_SKCIPHER در هسته یا افزودن قانون seccomp برای مسدودسازی فراخوان سیستمی splice() در فرآیندهای غیرقابل اعتماد.
2.2 CVE-2026-23268 – بایپس AppArmor در OverlayFS
نوع: Sandbox Bypass
زیرسیستم fs/overlayfs و LSM (Linux Security Module):
علت ریشه: در هنگام اعمال Copy-Up در OverlayFS، برچسب امنیتی (security context) فایل مقصد از لایه پایینی کپی میشود بدون بازبینی مجدد سیاستهای AppArmor یا SELinu.
بردار حمله: کانتینر یا فرآیند محدود شده توسط AppArmor میتواند با ایجاد یک فایل در لایه upper و سپس تحریک رویداد Copy-Up، دسترسی خواندن به فایلی که نباید ببیند پیدا کند.
Exploitability: پایدار (Stable) در تمام توزیعهای دارای OverlayFS فعال مانند Docker و Kubernetes
Mitigation : بهروزرسانی هسته به نسخهی 6.13 یا بالاتر؛ در غیر این صورت، استفاده از fs.protected_regular=1 و جلوگیری از mountهای نامعتبر OverlayFS.
2.3 Use-After-Free در eBPF (بدون CVE مشخص – آسیبپذیری صفرروزه)
نوع: Kernel Memory Corruption → LPE
زیرسیستم: kernel/bpf/verifier.c
علت ریشه: نقص در ایزولهسازی نوع (Type Isolation) در زمان تأیید برنامه eBPF. متغیر محلی در حلقه شبیهسازی (verification loop) به اشتباه آزاد میشود اما ارجاع (reference) آن باقی میماند.
بردار حمله: یک کاربر بدون امتیاز (unprivileged user) میتواند برنامه eBPF مخربی بارگذاری کرده و با برگرداندن شمارنده مرجع (refcount) به صفر، باعث Double-Free شود.
Detection: از ابزار KASAN (Kernel Address Sanitizer) برای تشخیص در محیط تست استفاده شد.
Mitigation: تنظیم kernel.unprivileged_bpf_disabled=1 و فعالسازی Kernel Lockdown در سطح integrity یا confidentiality.
________________________________________
- 3. روشهای پیشرفته دفاعی: از SAST تا RCA خودکار
تحقیقات اخیر نشان میدهد روشهای سنتی مانند fuzzing (مثلاً syzkaller) برای یافتن آسیبپذیریهای منطق همروند (concurrency bugs) کافی نیستند. دو رویکرد نوین عبارتند از:
UAFX یک چارچوب Static Application Security Testing (SAST) مبتنی بر کامپایلر LLVM که الگوهای Use-After-Free را با دقت 92% در کد هسته شناسایی میکند.
KernelRCA سیستمی با استفاده از Large Language Models (LLMs) برای علتیابی خودکار (Automated Root Cause Analysis) که خروجی syzkaller را تحلیل کرده و دقیقاً محل خطای حافظه را در کمتر از 2 ثانیه مشخص میکند.
- جمعبندی و توصیههای امنیتی
| آسیبپذیری | نوع | کلیدواژههای انگلیسی | راهکار اصلی |
| CVE-2026-31431 | LPE | Heap Overflow, splice() | seccomp-bpf or patch to 6.12.19+ |
| CVE-2026-23268 | Sandbox Bypass | OverlayFS, AppArmor | Upgrade kernel to 6.13+ |
| eBPF UAF | Memory Corruption | Double-Free, Verifier | unprivileged_bpf_disabled=1 |
سازمانها باید استراتژی دفاع در عمق (Defense in Depth) را با ترکیب بهروزرسانی منظم هسته، فعالسازی Lockdown و اجرای ابزارهای Runtime Security مانند Falco و Tracee دنبال کنند.