🚨 اطلاعیه شماره نود و سه بر اساس تحلیل‌های فنی و گزارش‌های منتشر شده از منابع معتبر امنیت سایبری در اواخر آوریل و اوایل می ۲۰۲۶، یک آسیب‌پذیری بسیار خطرناک در هسته لینوکس با شناسه CVE-2026-31431 ملقب به Copy Fail به‌صورت عمومی افشا شده و هم‌اکنون در حال بهره‌برداری فعال است. این آسیب‌پذیری که در زیرسیستم Crypto و ماژول algif_aead قرار دارد، امکان ارتقاء دسترسی محلی Local Privilege Escalation از کاربر عادی به root را با سطح اطمینان بالا فراهم می‌کند. 🚨 آخرین آپدیت کلیدی ۱ می ۲۰۲۶ انتشار تحلیل‌های Threat Intelligence توسط Microsoft و سایر وندورها مبنی‌بر: ▪️ ریسک بالا در محیط‌های Cloud و Kubernetes ▪️ امکان chain شدن در container escape 🔻 تحلیل بخش بحرانی: مکانیزم حمله (Copy-on-Write Abuse) این آسیب‌پذیری ناشی از نقص در مدیریت عملیات in-place در AF_ALG است که به مهاجم اجازه می‌دهد: ▪️ بدون تغییر فایل روی دیسک ▪️ بدون ثبت در مکانیزم‌های integrity ▪️ محتوای page cache را مستقیماً overwrite کند. در این سناریو، مهاجم می‌تواند: ▪️ باینری‌های حساس مثل SUID binariesرا فقط در حافظه تغییر دهد. ▪️ همان باینری را اجرا کند و به سطح root برسد. ⚠️ نکته حیاتی این رفتار باعث bypass کامل ابزارهای forensic مبتنی‌بر دیسک می‌شود. 🔻 ویژگی‌های خطرناک اکسپلویت ▪️ بدون نیاز به race condition (برخلاف Dirty COW) ▪️ بسیار پایدار و deterministic ▪️ حجم بسیار کم PoC (حدود ۷۳۲ بایت) ▪️ قابل اجرا روی طیف وسیعی از دیستروها (distro) ⚠️ تحلیل تهدید در زیرساخت‌های مدرن ❗در محیط‌های Containerized ▪️ سوءاستفاده از page cache مشترک بین container و host ▪️ امکان escape از container و دسترسی به node ❗در محیط‌های Cloud ▪️ Escalation از user-level access در VM به root ▪️ افزایش ریسک lateral movement در شبکه داخلی با توجه به توضیحات بالا، پیشنهاد می‌شود اقدامات زیر فوراً بررسی و اجرا شوند: Patch Management (بسیار حیاتی) ▪️ بروزرسانی فوری kernel به نسخه‌های patch شده (بعد از ۱ آوریل ۲۰۲۶) ▪️ بررسی وضعیت patch در distro (بعضی هنوز Fully Patched نیستند.) Hardening در سطح سیستم ▪️ غیرفعال‌سازی AF_ALG در صورت عدم نیاز ▪️ محدودسازی unprivileged user namespaces ▪️ کاهش دسترسی به سیسکال‌ها مرتبط مانند splice() Detection & Threat Hunting ▪️ پایش الگوهای غیرعادی 🔹استفاده همزمان از AF_ALG + splice () 🔹دسترسی غیرعادی به کریپتو سوکت‌ها (Crypto Socket) ▪️ استفاده از EDR با قابلیت memory analysis (نه فقط disk-based) Kubernetes Security Monitoring ▪️ بررسی رفتار کانتینرها برای سیسکال‌های غیرمعمول ▪️ اعمال seccomp و AppArmor profiles محدودکننده ▪️ مانیتورینگ دسترسی به host kernel interface Incident Response Readiness ▪️ فرض compromise در صورت وجود access محلی ▪️ بررسی integrity باینری‌ها در runtime (نه فقط روی دیسک) ▪️ Rotation دسترسی‌ها درصورت مشاهده رفتار مشکوک ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نودوچهار با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 37.221.27.52 188.253.67.40 46.143.92.235 5.10.248.155 188.136.220.71 93.126.40.22 91.236.168.167 212.80.18.11 185.18.213.22 80.210.47.42 87.236.208.94 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نودوپنج با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 80.191.185.128 5.122.233.193 94.177.75.104 94.182.214.91 2.147.172.213 142.250.202.174 5.62.176.102 77.237.163.206 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نودوشش با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 37.148.70.118 142.250.202.238 188.121.120.148 185.129.228.26 142.250.202.46 217.218.31.112 5.10.248.4 78.157.51.89 37.32.10.163 2.176.110.7 5.122.211.72 77.237.166.139 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)