سه آسیبپذیری جدید در زیرسیستم شبکه کرنل لینوکس با نام Dirty Frag میتواند به کاربران محلی اجازه افزایش سطح دسترسی تا سطح ریشه را بدهد.
سه آسیبپذیری امنیتی در زیرسیستم شبکه کرنل لینوکس با شناسههای CVE‑2026‑43284، CVE‑2026‑43500 و CVE‑2026‑46300 شناسایی شده که با عنوان Dirty Frag شناخته میشوند. این ضعفها در ماژولهای IPsec ESP/XFRM و rxrpc قرار دارند و در صورت سوءاستفاده میتوانند به افزایش سطح دسترسی کاربران محلی تا سطح مدیر سیستم منجر شوند. این آسیبپذیریها که شباهتهایی با نقص امنیتی Copy Fail دارند، برخی محصولات Red Hat از جمله Red Hat Enterprise Linux و OpenShift را تحت تأثیر قرار دادهاند. کارشناسان امنیتی توصیه کردهاند مدیران سیستم علاوه بر نصب وصلههای امنیتی، از روشهای موقتی مانند مسدودسازی ماژولهای آسیبپذیر یا محدود کردن user namespace برای کاهش خطر استفاده کنند.
شـرکت Red Hat در بولتن امنیتی جدید خود با شناسه RHSB-2026-003 از کشف مجموعهای از آسیبپذیریهای امنیتی در زیرسامانههای شبکه هسته لینوکس خبر داده است. این آسیبپذیریها که بهطور جمعی با نام Dirty Frag شناخته میشوند، میتوانند در شرایط خاص به مهاجمان اجازه دهند با سوءاستفاده از نقصهای موجود در هسته سیستمعامل لینوکس، سطح دسترسی خود را از یک کاربر عادی به سطح روت یا مدیر سیستم ارتقا دهند.
بر اساس گزارش رسمی منتشرشده، مجموعه Dirty Frag شامل سه آسیبپذیری مستقل در بخشهای مختلف شبکه هسته لینوکس است. این آسیبپذیریها در ماژولهای IPsec ESP/XFRM شامل esp4 و esp6 و همچنین ماژول rxrpc مشاهده شدهاند. در این میان، دو مورد از این آسیبپذیریها محصولات Red Hat را تحت تأثیر قرار میدهند و مورد سوم ارتباط مستقیمی با محصولات این شرکت ندارد.
سه آسیبپذیری شناساییشده به ترتیب با شناسههای CVE-2026-43284، CVE-2026-43500 و CVE-2026-46300 ثبت شدهاند. آسیبپذیری CVE-2026-43284 مربوط به پیادهسازی IPsec ESP در هسته لینوکس است. نقص CVE-2026-43500 در ماژول rxrpc مشاهده شده و به گفته رد هت، این مورد بر محصولات Red Hat تأثیر نمیگذارد. سومین آسیبپذیری با شناسه CVE-2026-46300 به گونهای جدید از این مشکل با نام Fragnesia مربوط میشود که در زیرسامانه XFRM ESP-in-TCP شناسایی شده است.
نام Dirty Frag به دلیل شباهت ساختاری این مجموعه نقصها با آسیبپذیری پیشین Copy Fail انتخاب شده است و در برخی منابع از آن با عنوان Copy Fail 2 نیز یاد میشود. این نامگذاری نشان میدهد که سازوکار سوءاستفاده از این نقصها شباهتهایی با تکنیکهای قبلی دارد، هرچند در بخشهای متفاوتی از زیرساخت شبکه هسته لینوکس رخ میدهد.
از منظر فنی، IPsec یکی از مهمترین فناوریهای امنیت شبکه در سیستمعامل لینوکس محسوب میشود که برای رمزنگاری ارتباطات شبکه مورد استفاده قرار میگیرد. این فناوری در سناریوهایی مانند VPN، تونلهای ارتباطی site-to-site و محافظت از ترافیک حساس شبکه کاربرد گسترده دارد. به همین دلیل وجود نقص در ماژولهای مرتبط با IPsec میتواند برای بسیاری از زیرساختهای سازمانی اهمیت امنیتی بالایی داشته باشد.
در کنار IPsec، ماژول rxrpc نیز یکی دیگر از اجزای درگیر در این مجموعه آسیبپذیری است. این ماژول پیادهسازی پروتکل RxRPC را در هسته لینوکس فراهم میکند. پروتکل RxRPC در سیستم فایل توزیعشده Andrew File System یا AFS مورد استفاده قرار میگیرد. AFS یک فایلسیستم شبکهای توزیعشده است که به کاربران اجازه میدهد فایلهای ذخیرهشده روی سرورهای راهدور را همانند فایلهای محلی مشاهده و استفاده کنند. این معماری در برخی محیطهای سازمانی و پژوهشی برای مدیریت دادههای توزیعشده مورد استفاده قرار میگیرد.
رد هت اعلام کرده است که شدت اثرگذاری این آسیبپذیریها در سطح Important طبقهبندی شده است. با وجود آنکه این سطح از Critical پایینتر محسوب میشود، اما به دلیل امکان ارتقای دسترسی محلی به سطح روت، این نقصها همچنان از نظر امنیتی بسیار مهم تلقی میشوند. به همین دلیل تیم امنیتی رد هت روند انتشار اصلاحیهها و وصلههای امنیتی برای رفع این مشکلات را با سرعت بیشتری در دستور کار قرار داده است.
محصولاتی که در حال حاضر بهعنوان سیستمهای آسیبپذیر شناسایی شدهاند شامل Red Hat Enterprise Linux 8، Red Hat Enterprise Linux 9، Red Hat Enterprise Linux 10 و همچنین پلتفرم OpenShift 4 هستند. این موضوع نشان میدهد که دامنه اثرگذاری این نقصها تنها محدود به یک نسخه خاص از لینوکس نیست و بخش قابلتوجهی از زیرساختهای سازمانی مبتنی بر Red Hat را در بر میگیرد.
در کنار انتشار این هشدار امنیتی، رد هت مجموعهای از راهکارهای موقت برای کاهش ریسک سوءاستفاده از این آسیبپذیریها ارائه کرده است. یکی از مهمترین توصیهها، محدودسازی دسترسی محلی به سیستم است. بر اساس این توصیهها، اقداماتی مانند غیرفعال کردن SSH در صورت عدم نیاز، فعال بودن SELinux در حالت enforcing، استفاده از Security Context Constraints پیشفرض، اجرای بارهای کاری با کاربر غیر روت و محدودسازی دسترسی oc debug فقط برای مدیران مورد اعتماد میتواند احتمال سوءاستفاده را کاهش دهد.
با این حال، رد هت تأکید کرده است که هیچیک از این اقدامات بهتنهایی نمیتواند تمام مسیرهای دسترسی محلی را مسدود کند. بنابراین مدیران سیستم باید با توجه به سیاستهای امنیتی و نیازهای عملیاتی سازمان خود مجموعهای از اقدامات امنیتی را بهصورت ترکیبی اجرا کنند.
یکی از روشهای پیشنهادی برای کاهش خطر، استفاده از روش Blocklist برای ماژولهای آسیبپذیر است. در این روش مدیر سیستم میتواند بارگذاری ماژولهای esp4 و esp6 را در هسته لینوکس مسدود کرده و آنها را از حافظه خارج کند. پیش از اجرای این روش باید بررسی شود که آیا IPsec در سیستم مورد استفاده قرار میگیرد یا خیر.
برای بررسی فعال بودن IPsec میتوان از دستور زیر استفاده کرد:
- lsmod | grep -E ‘esp4|esp6’
اگر این ماژولها بارگذاری نشده باشند، به این معناست که IPsec در حال حاضر فعال نیست و میتوان بدون ایجاد اختلال در عملکرد سیستم آنها را مسدود کرد. اما اگر این ماژولها در حال استفاده باشند، اعمال blocklist ممکن است پس از راهاندازی مجدد سیستم باعث از کار افتادن قابلیت IPsec شود.
رد هت هشدار داده است که مسدودسازی ماژولهای esp4 و esp6 میتواند عملکرد IPsec را مختل کند و پیش از اعمال این تنظیمات باید اثر آن بر زیرساخت شبکه بررسی شود. برای پیادهسازی این روش میتوان تنظیمات زیر را در فایل پیکربندی modprobe ثبت کرد:
- printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf
پس از آن نیز میتوان ماژولها را از هسته خارج کرد:
- rmmod esp4 esp6 2>/dev/null; true
در صورتی که نیاز به بازگرداندن وضعیت قبلی باشد، کافی است فایل dirtyfrag.conf از مسیر /etc/modprobe.d حذف شود.
برای محیطهایی که IPsec باید فعال باقی بماند، رد هت یک راهکار جایگزین ارائه کرده است. در این روش با غیرفعال کردن قابلیت unprivileged user namespaces میتوان از سوءاستفاده از آسیبپذیری ESP با شناسه CVE-2026-43284 جلوگیری کرد.
برای اعمال این تنظیمات باید مقدار زیر در فایل sysctl ثبت شود:
- echo “user.max_user_namespaces=0” > /etc/sysctl.d/dirtyfrag.conf
سپس تنظیمات سیستم با دستور زیر اعمال میشود:
البته رد هت هشدار داده است که غیرفعال کردن unprivileged user namespaces ممکن است بر برخی فناوریها تأثیر بگذارد. از جمله این موارد میتوان به کانتینرهای rootless، مرورگرهای دارای sandbox امنیتی و بستههای Flatpak اشاره کرد که برای اجرا به این قابلیت وابسته هستند.
در مورد گونه Fragnesia با شناسه CVE-2026-46300 نیز رد هت اعلام کرده است که راهکارهای فعلی احتمالاً برای این آسیبپذیری نیز مؤثر هستند، اما بررسیهای فنی برای تأیید نهایی همچنان ادامه دارد. این شرکت اعلام کرده است پس از تکمیل فرآیند اعتبارسنجی، بهروزرسانیهای جدیدی منتشر خواهد کرد.
بـهطور کلی، آسیبپذیریهای ارتقای دسترسی محلی در بسیاری از حملات سایبری نقش مهمی در مرحله تثبیت نفوذ دارند. در چنین سناریوهایی مهاجم ممکن است ابتدا با دسترسی محدود وارد سیستم شود و سپس با استفاده از نقصهای موجود در هسته یا سرویسهای سیستمی سطح دسترسی خود را افزایش دهد. از این رو، حتی آسیبپذیریهایی که نیازمند دسترسی محلی هستند نیز در محیطهای سازمانی و زیرساختی تهدیدی جدی محسوب میشوند.
با توجه به گستردگی استفاده از لینوکس در سرورها، زیرساختهای ابری و پلتفرمهای کانتینری، انتظار میرود مدیران سیستم و تیمهای امنیت اطلاعات بهسرعت وضعیت سیستمهای خود را بررسی کرده و اقدامات کاهش خطر یا نصب وصلههای امنیتی را در اولویت قرار دهند.