هشدار قرمز برای سرورها: واکاوی آسیبپذیری ویرانگر CopyFail در لینوکس (CVE-2026-31431)
- ماهیت بحران: باگ CopyFail یک نقص بحرانی در هسته لینوکس است که به کاربران عادی اجازه میدهد در کسری از ثانیه به دسترسی ادمین کل (Root) برسند.
- گستردگی فاجعه: تمام نسخههای کرنل ۷.۰ و قدیمیتر، از جمله توزیعهای پرکاربرد اوبونتو، دبیان و حتی پلتفرمهای ابری مانند کوبرنیتیز (Kubernetes) در معرض خطرند.
- اقدام اضطراری: سازمان CISA هشدار داده است که ادمینهای شبکه تنها تا ۲۵ اردیبهشت برای نصب وصلههای امنیتی فرصت دارند.
سیستمعامل لینوکس همواره به عنوان دژ تسخیرناپذیر دنیای سرورها و اینترنت شناخته میشد؛ اما انتشار گزارشهای اخیر درباره آسیبپذیری CopyFail (با شناسه CVE-2026-31431) لرزه بر اندام مدیران دیتاسنترها انداخته است. این حفره امنیتی عمیق نشان داد که حتی امنترین ساختارها نیز میتوانند با یک خطای محاسباتی کوچک فرو بریزند.
در این مقاله جامع، کالبدشکافی دقیقی از نحوه عملکرد باگ CopyFail خواهیم داشت و به زبان ساده بررسی میکنیم که چگونه یک اسکریپت کوتاه پایتون میتواند کنترل بزرگترین شبکههای سازمانی را به دست هکرها بسپارد.
آناتومی فاجعه؛ باگ CopyFail دقیقا چیست؟
هسته سیستمعامل (Kernel) مغز متفکر لینوکس است. یکی از وظایف حیاتی کرنل، جابهجایی امن اطلاعات در حافظه رم است. نام CopyFail دقیقاً به ناتوانی کرنل در تکمیل صحیح فرآیند «کپی کردن» دادههای حساس اشاره دارد. زمانی که این خطا رخ میدهد، بخشهایی از حافظه که مربوط به تعیین سطح دسترسی کاربران است، دچار اختلال و بههمریختگی میشود.
مثال کاربردی: یک ساختمان فوقامنیتی را تصور کنید. نگهبان (کرنل لینوکس) وظیفه دارد لیست اسامی افراد مجاز را از یک دفترچه به دفترچه دیگر کپی کند. در حین نوشتن، حواس او پرت میشود (خطای CopyFail) و جای خالی در لیست باقی میماند. در این لحظه، یک بازدیدکننده عادی (هکر) سریعاً نام خود را در جای خالی مینویسد و جلوی آن برچسب «مدیرکل» (Root) را میچسباند! حالا این بازدیدکننده عادی کلید تمام اتاقها، گاوصندوقها و اسناد محرمانه را در اختیار دارد.
دامنه آلودگی؛ از سرورهای خانگی تا ابررایانههای کوبرنیتیز
بر اساس گزارش تکاندهنده تیم امنیتی Theori، این باگ مختص به یک نسخه خاص نیست. تمام توزیعهای لینوکسی که از سال ۲۰۱۷ به بعد منتشر شدهاند و از کرنل ۷.۰ یا پایینتر استفاده میکنند، در برابر این حمله بیدفاع هستند.
این یعنی یک قطعه کد چند خطی و بسیار ساده به زبان پایتون، میتواند مانند یک «شاهکلید» عمل کند و قفل غولهای نرمافزاری زیر را باز کند:
- اوبونتو (نسخههای محبوب نظیر 24.04)
- رد هت انترپرایز لینوکس (نسخه 10.1)
- دبیان و فدورا
- آمازون لینوکس (نسخه 2023)
ترسناکترین بخش ماجرا، نفوذ این باگ به زیرساختهای ابری کوبرنیتیز (Kubernetes) است. از آنجایی که کوبرنیتیز برای مدیریت کانتینرها مستقیماً با کرنل لینوکس در ارتباط است، هکر با نفوذ به یک کانتینر ساده، میتواند کنترل کل خوشه (Cluster) سرورها را به دست بگیرد.
روشهای نفوذ؛ هکرها چگونه از این حفره استفاده میکنند؟
باید توجه داشت که CopyFail یک آسیبپذیری از راه دور (RCE) نیست؛ یعنی هکر نمیتواند مستقیماً از بیرون اینترنت و بدون داشتن هیچگونه دسترسی اولیه، سرور شما را هک کند. آنها به یک جای پای اولیه نیاز دارند. مایکروسافت در گزارش تحلیلی خود، دو سناریوی اصلی را برای این زنجیره حمله متصور است:
- حمله زنجیرهای (Chain Exploit): هکر ابتدا یک سایت وردپرسی یا یک افزونه آسیبپذیر را روی سرور شما پیدا میکند. او از طریق آن باگ، به عنوان یک کاربر با دسترسی بسیار محدود (مثل کاربر www-data) وارد سیستم میشود. سپس با اجرای اسکریپت CopyFail، در کسری از ثانیه دسترسی خود را به Root ارتقا میدهد.
- مسمومیت زنجیره تامین (Supply Chain): مجرمان سایبری کدهای مخرب حاوی این باگ را در قالب آپدیتهای جعلی یا پکیجهای نرمافزاری به ظاهر بیخطر (در مخازنی مثل npm یا PyPI) منتشر میکنند. به محض اینکه یک برنامهنویس یا ادمین این کد را روی سرور اجرا کند، سیستم تسخیر میشود.
ضربالاجل امنیتی نهادهای دولتی آمریکا
شدت این آسیبپذیری به حدی است که آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) در یک اقدام کمسابقه، دستورالعمل اضطراری صادر کرده است. طبق این بخشنامه، تمام سازمانها و دیتاسنترها حداکثر تا ۲۵ اردیبهشت (۱۵ مه) فرصت دارند تا سیستمهای خود را وصله (Patch) کنند.
مشکل اینجاست که ارائه پچ برای برخی توزیعهای سفارشیسازی شده زمانبر است. مدیران سیستم باید هر روز مخازن آپدیت سیستمعامل خود را چک کنند و در صورت عدم ارائه پچ رسمی، از راهکارهای موقت (Mitigation) برای محدودسازی اجرای فایلهای پایتون توسط کاربران غیرمجاز استفاده نمایند.
جدول وضعیت توزیعهای درگیر با CopyFail
| نام سیستمعامل / زیرساخت | نسخههای تایید شده آسیبپذیر | سطح خطر دسترسی | وضعیت فعلی پچ امنیتی |
|---|---|---|---|
| Ubuntu | نسخه 24.04 و نسخههای قدیمیتر | بحرانی (Root) | منتشر شده (نیاز به آپدیت فوری) |
| Red Hat (RHEL) | نسخه 10.1 و ماقبل آن | بحرانی (Root) | منتشر شده (از طریق yum update) |
| Amazon Linux | نسخه 2023 و قدیمیتر | بالا (دسترسی کامل به کانتینر) | در حال ارائه در سرورهای AWS |
| Kubernetes (Nodes) | تمام نودهای مبتنی بر کرنل زیر 7.0 | فاجعهبار (کنترل کل کلاستر) | وابسته به آپدیت سیستمعامل نودها |
تحلیل اختصاصی آلفاتک: وقتی دسترسی محدود، سرابی بیش نیست!
بسیاری از ادمینهای سرور تصور میکنند اگر به یک کاربر، دسترسیهای محدودی (مثلاً فقط خواندن فایلها) بدهند، امنیت برقرار است. سناریوی واقعی: فرض کنید شما میزبان یک سرویس هاستینگ اشتراکی هستید. یکی از مشتریان شما از طریق وبسایت خود هک میشود. هکر در حالت عادی فقط میتواند فایلهای همان مشتری را ببیند. اما با وجود باگ CopyFail، هکر به سیستمعامل نفوذ کرده و قوانین محدودیت را دور میزند. او در عرض چند ثانیه مدیر کل سرور میشود و دیتابیس تمام مشتریان دیگر شما را دانلود کرده یا باجافزار نصب میکند! توصیه اکید آلفاتک این است که فارغ از نوع فایروال یا آنتیویروس، نصب آپدیتهای کرنل در این روزها اولویت شماره یک شما باشد.
سوالات متداول (FAQ) درباره بحران CopyFail
uname -r در ترمینال، نسخه کرنل خود را ببینید. اگر نسخه شما ۷.۰ یا پایینتر است و اخیراً سرور خود را آپدیت نکردهاید، قطعاً در معرض خطر قرار دارید و باید سریعاً دستورات بهروزرسانی (مانند apt update و apt upgrade) را اجرا کنید.
