برای امنیت سیستم‌های لینوکسی، آسیب‌پذیری‌هایی که به Privilege Escalation منجر می‌شوند، همیشه در صدر نگرانی‌ها قرار دارند. حالا یک نقص امنیتی جدید و خطرناک در glibc با شناسه CVE-2025-4802 کشف شده است که در صورت سوءاستفاده می‌تواند کنترل کامل سیستم را به مهاجم بدهد — آن هم از طریق یک باینری ساده setuid.

🔍  آسیب‌پذیری (glbic CVE-2025-4802 Explained) دقیقاً چیست؟

glibc، کتابخانه استاندارد C در لینوکس، مسئول عملکردهای بنیادی سیستم است. در نسخه‌های ۲.۲۷ تا ۲.۳۸، خطایی وجود دارد که باعث می‌شود باینری‌های setuid که به‌صورت static linked کامپایل شده‌اند و از dlopen() استفاده می‌کنند، به اشتباه متغیر خطرناک LD_LIBRARY_PATH را پردازش کنند.

نتیجه؟

مهاجم می‌تواند یک کتابخانه مخرب را لود کرده و کدی با دسترسی root روی سیستم اجرا کند — بدون نیاز به مهارت پیچیده در اکسپلویت‌نویسی.

🎯 چه کسانی در معرض خطرند؟

این آسیب‌پذیری به‌طور خاص بر سیستم‌هایی تأثیر می‌گذارد که:

✅ از glibc نسخه‌های آسیب‌پذیر (۲.۲۷ تا ۲.۳۸) استفاده می‌کنند

✅ دارای باینری setuid هستند که static linked شده‌اند و از dlopen بهره می‌برند

✅ اجازه استفاده از LD_LIBRARY_PATH را به‌صورت ناخواسته داده‌اند

🚨 نکته مهم: توزیع‌های پرکاربرد مانند Ubuntu، Debian، CentOS، Red Hat  و مشتقات آن‌ها تحت تأثیر قرار دارند، به‌ویژه اگر glibc هنوز به نسخه ۲.۳۹ ارتقا نیافته باشد.

حتما بخوانید:  هشدار امنیتی | آسیب‌پذیری روز-صفر در مرورگر Chrome؛ حملات فعال در حال انجام هستند!

🛠️ اقدامات فوری برای مدیران امنیت و تیم‌های لینوکس

در ادامه چک‌لیستی کاربردی و حرفه‌ای برای کاهش سریع ریسک این تهدید را آماده کرده ایم:

 ✳️ بررسی و ارتقاء نسخه glibc

به‌سرعت نسخه glibc را در همه سرورها بررسی کرده و آن را به ۲.۳۹ یا بالاتر ارتقاء دهید.
دستور بررسی:

bash

CopyEdit

ldd --version

🔎 شناسایی باینری‌های setuid

با دستور زیر همه فایل‌هایی که دارای بیت setuid هستند را پیدا کنید:

bash

CopyEdit

find / -perm -4000 -type f 2>/dev/null

 🧱 جلوگیری از استفاده غیرمجاز از LD_LIBRARY_PATH

مطمئن شوید که باینری‌های setuid، به‌ویژه آن‌هایی که statically linked هستند، در برابر تأثیرگذاری متغیرهای محیطی مقاوم شده‌اند.

🔒 فعال‌سازی SELinux یا AppArmor

استفاده از سیاست‌های محدودکننده MAC )مانند SELinux یا AppArmor( به عنوان لایه حفاظتی دوم ضروری است.

📊 مانیتورینگ مداوم و هشداردهی

برای شناسایی تغییرات مشکوک در باینری‌ها و کتابخانه‌های shared، از راهکارهای SIEM بهره بگیرید.

🔐 نتیجه‌گیری: چرا نباید این آسیب‌پذیری را دست‌کم بگیریم؟

CVE-2025-4802 صرفاً یک باگ در یک library نیست؛ بلکه یک مسیر مستقیم به اجرای کد سطح root است، آن هم با استفاده از امکانات معمول سیستم. بسیاری از سازمان‌ها تصور می‌کنند که static linking ایمن‌تر است — در حالی که در این مورد، دقیقاً عامل ایجاد تهدید شده است.

به‌عنوان یک مدیر امنیت یا مسئول زیرساخت، توجه به چنین تهدیدهایی به معنای واقعی «امن‌سازی زیرساخت از هسته» است.