گزارش جدید SecurityWeek تأیید میکند که مهاجمان سایبری شروع به سوءاستفاده فعال از آسیبپذیری Copy Fail با شناسه CVE‑2026‑31431 کردهاند؛ نقصی که تقریباً یک دهه در کرنل لینوکس پنهان بوده و از سال ۲۰۱۷ تمام توزیعها را تحتتأثیر قرار داده است.
این آسیبپذیری در ماژول authencesn AEAD قرار دارد و به مهاجم محلی که دسترسی اجرای کد دارد اجازه میدهد صفحه کش باینریهای setuid-root را دستکاری کرده و بهسادگی به دسترسی کامل روت برسد. این حمله کاملاً در حافظه انجام میشود و هیچ تغییری روی دیسک باقی نمیگذارد، بنابراین بسیار مخفیانه و خطرناک است.
CISA این باگ را به فهرست Known Exploited Vulnerabilities اضافه کرده و از سازمانهای دولتی خواسته ظرف دو هفته سیستمهای آسیبپذیر را وصله کنند. مایکروسافت نیز اعلام کرده که تاکنون سوءاستفاده محدود مشاهده شده، اما بیشتر آن مربوط به تست PoC است. با این حال هشدار داده که به دلیل انتشار عمومی PoC، احتمال افزایش حملات بسیار بالاست.
مایکروسافت تأکید میکند که این نقص میتواند منجر به:
– فرار از کانتینر
– نفوذ به محیطهای چندمستاجره (multi‑tenant)
– حرکت جانبی در زیرساختهای ابری، CI/CD و Kubernetes شود؛ محیطهایی که اجرای کد غیرقابلاعتماد در آنها رایج است.
مهاجم تنها به یک دسترسی محلی ساده نیاز دارد، مثلاً از طریق SSH، یک job مخرب در CI، یا دسترسی به یک کانتینر و سپس با اجرای یک اسکریپت کوچک میتواند دادههای درون حافظه را بازنویسی کرده و به روت تبدیل شود.
توصیههای امنیتی مایکروسافت:
– شناسایی سریع سیستمهای دارای کرنل آسیبپذیر
– نصب وصلهها در اولین فرصت
– ایزولهسازی ماشینهای مشکوک
– محدودسازی دسترسیها
– بررسی لاگها برای نشانههای بهرهبرداری
این آسیبپذیری به دلیل قابلیت بهرهبرداری آسان، مخفیکاری بالا و کاربرد گسترده در محیطهای ابری یکی از جدیترین تهدیدهای سال ۲۰۲۶ توصیف شده است.
انتهای مطلب از دایان پرو
