آسیب‌پذیری خطرناک Copy Fail در لینوکس با کمک هوش مصنوعی کشف شد؛ دسترسی ادمین برای همه

سیستم عامل
امنیت و حریم خصوصی
فناوری
شنبه 12 اردیبهشت 1405 - 14:30
مطالعه 2 دقیقه
تیم زومیت
نصب لینوکس روی مک بوک اپل
آسیب‌پذیری Copy Fail که با کمک هوش مصنوعی کشف شد، تقریبا تمام توزیع‌های لینوکس از ۲۰۱۷ را تهدید می‌کند و دسترسی ادمین می‌دهد.
تبلیغات

تقریبا تمام توزیع‌های لینوکس منتشرشده از سال ۲۰۱۷ به این سو در معرض باگ امنیتی خطرناکی به‌نام «Copy Fail» قرار دارند که به هر کاربری اجازه می‌دهد دسترسی مدیریتی (administrator) به خود بدهد.

آسیب‌پذیری Copy Fail که روز چهارشنبه با شناسه‌ی CVE-2026-31431 به‌صورت عمومی افشا شد، از یک اسکریپت پایتون استفاده می‌کند که در تمام توزیع‌های آسیب‌پذیر لینوکس کار می‌کند و به‌گفته‌ی شرکت امنیتی Theori که آن را کشف کرده است، «نیازی به تنظیمات مخصوص هر توزیع، بررسی نسخه یا کامپایل مجدد ندارد».

رسانه‌ی Ars Technica به پست وبلاگی اشاره می‌کند که در آن جوریجن اسکریورشوف، مهندس DevOps، توضیح می‌دهد آنچه Copy Fail را «به‌طور غیرمعمول خطرناک» می‌کند، احتمال بالای آن برای پنهان‌ماندن از ابزارهای نظارتی است. اسکریورشوف می‌گوید: «خرابی Page-cache هرگز صفحه را به‌عنوان dirty علامت‌گذاری نمی‌کند. سیستم writeback کرنل هرگز بایت‌های تغییریافته را به دیسک بازنمی‌گرداند. در نتیجه، AIDE، Tripwire، OSSEC و هر ابزار نظارتی که checksum‌های روی دیسک را مقایسه می‌کند، چیزی نمی‌بینند».

Copy Fail توسط محققان Theori با کمک ابزار هوش مصنوعی Xint Code شناسایی شد. طبق یک پست وبلاگ، تایانگ لی ایده‌ی بررسی زیرسیستم crypto لینوکس را داشت و این پرامپت را برای اجرای اسکن خودکار ایجاد کرد که چندین آسیب‌پذیری را در حدود یک ساعت شناسایی کرد؛ پرامپتی که لی نوشته بود، این‌گونه است:

This is the linux crypto/ subsystem. Please examine all codepaths reachable from userspace syscalls. Note one key observation: splice() can deliver page-cache references of read-only files (including setuid binaries) to crypto TX scatterlists.

ترجمه‌ی پرامپت تایانگ لی به‌زبان فارسی این‌گونه است:

«این زیرسیستم crypto/ لینوکس است. لطفا تمام مسیرهای کد قابل دسترسی از syscall‌های userspace را بررسی کن. یک مشاهده‌ی کلیدی را در نظر داشته باش: ()splice می‌تواند مراجع page-cache فایل‌های فقط‌خواندنی (از جمله باینری‌های setuid) را به scatterlist‌های TX crypto تحویل دهد.»

طبق صفحه‌ی افشای آسیب‌پذیری Copy Fail، یک وصله برای آن در ابتدای ماه آوریل به کرنل اصلی لینوکس اضافه شد؛ اما همان‌طور که Ars Technica اشاره می‌کند، محققانی که Copy Fail را شناسایی کردند، جزئیات آسیب‌پذیری را قبل از اینکه تمام توزیع‌های آسیب‌دیده بتوانند وصله‌ای برای آن منتشر کنند، به‌صورت عمومی منتشر کردند. برخی توزیع‌ها از جمله Arch Linux، RedHat Fedora و Amazon Linux وصله منتشر کرده‌اند؛ اما بسیاری دیگر نتوانستند فورا مشکل را برطرف کنند.

مقاله رو دوست داشتی؟
نظرت چیه؟

نظرات

مشاهده تمامی لیست‌های مطالعاتی
پخش از رسانه