تحلیل و بررسی مهم‌ترین آسیب‌پذیری‌های سرویس‌های لینوکسی تا نوامبر 2025

با گسترش زیرساخت‌های ابری، مجازی‌سازی، و سرویس‌های مبتنی بر لینوکس، امنیت این پلتفرم نسبت به گذشته پیچیده‌تر و حساس‌تر شده است. در سال‌های ۲۰۲۴ و ۲۰۲۵ بخش عمده‌ای از حملات موفق سایبری به دلیل سه عامل صورت گرفته‌اند: آسیب‌پذیری سرویس‌ها، حملاتSupply Chain، و پیکربندی نادرست. در این مقاله، مهم‌ترین آسیب‌پذیری‌ها در سرویس‌های پرترافیک لینوکسی را به صورت کاملاً تخصصی بررسی می‌کنیم.

آسیب‌پذیری‌های سرویس‌های لینوکسی

آسیب‌پذیری‌های سرویس‌های وب Apache و Nginx

Apache و Nginx، دو وب‌سرور محبوب لینوکسی، بخش بزرگی از ترافیک اینترنت را سرویس‌دهی می‌کنند. اما همین گستردگی، آنها را به هدفی جذاب برای مهاجمان تبدیل کرده است.

Path Traversal یادور زدن مسیر فایل‌ها

آسیب‌پذیری Path Traversal زمانی رخ می‌دهد که وب‌سرور نتواند مسیرهای ورودی کاربر را به‌درستی فیلتر و اعتبارسنجی کند و مهاجم بتواند با استفاده از الگوهایی مانند ‎../‎ به مسیرهای خارج از دایرکتوری مجاز دسترسی پیدا کند. این ضعف معمولاً به دلیل پیکربندی نادرست Directoryها، استفاده از ماژول‌های قدیمی، یا Rewrite Ruleهای ناقص در Apache و Nginx ایجاد می‌شود. مهاجم با ارسال درخواست‌های ساختگی می‌تواند فایل‌های حساسی مانند  ‎/etc/passwd‎، فایل‌های لاگ، نسخه‌های پشتیبان و حتی Source Code برنامه‌ها را مشاهده کند. این دسترسی غیرمجاز اغلب نقطه شروع حملات بزرگ‌تر مانند سرقت Credentialها، کشف ساختار سرور، و در نهایت رساندن حمله به مرحله Remote Code Execution (RCE) است.

به همین دلیل Path Traversal یکی از خطرناک‌ترین و پرکاربردترین آسیب‌پذیری‌ها در حملات واقعی است و نیازمند سخت‌سازی فوری و اعتبارسنجی دقیق ورودی‌هاست. در این حمله، مهاجم از نقص در اعتبارسنجی ورودی برای دسترسی به مسیرهای حساس مانند ‎/etc/passwd‎ یا فایل‌های پشتیبان استفاده می‌کند.
سرویس‌هایی با تنظیمات Directory غیرایمن، Rewriteهای اشتباه، یا ماژول‌های قدیمی در معرض این حمله قرار دارند.

ویدیوی اجرای Microsoft SQL Server برروی Linux

پیامدهای حمله Path Traversal

• دسترسی غیرمجاز به اطلاعات حساس
• افشای پیکربندی سرور
• استخراج  credentialها
• آماده‌سازی برای حملات  RCE

Misconfiguration یا پیکربندی نادرست

پیکربندی نادرست یکی از شایع‌ترین و خطرناک‌ترین تهدیدات امنیتی در وب‌سرورهای Apache و Nginx است و بیش از نیمی از حملات موفق به دلیل همین خطاهای مدیریتی رخ می‌دهد، نه آسیب‌پذیری‌های نرم‌افزاری. فعال بودن Directory Listing باعث می‌شود محتویات پوشه‌ها، شامل فایل‌های حساس، نسخه‌های پشتیبان و اسکریپت‌ها برای مهاجم قابل مشاهده شود. وجود مسیرهای test و backup در محیط Production نیز امکان دسترسی به فایل‌های قدیمی، لاگ‌ها یا نسخه‌های آسیب‌پذیر برنامه را فراهم می‌کند. همچنین تعداد زیادی از حملات ناشی از نبود تنظیمات استاندارد SSL/TLS، استفاده از Cipherهای ضعیف، یا به‌کارگیری گواهی‌های منقضی‌شده و self-signed در سیستم‌های سازمانی است که اعتماد و امنیت ارتباط را به‌طور کامل تضعیف می‌کند.

بیشتر بخوانید: ررسی راهکارهای تخصصی لینوکس یا Linux Solutions در زیرساخت‌های مدرن فناوری اطلاعات

در بسیاری از سرورها، ماژول‌های قدیمی Apache یا Nginx بدون نیاز فعال هستند و همین موضوع شرایط اجرای حملات مانند buffer overflow یا RCE را فراهم می‌کند. نمونه‌های غلط پیکربندی مانند اجرای Nginx بدون هدرهای امنیتی نظیر ‎X-Frame-Options‎،‎X-Content-Type-Options‎  یا ‎Content-Security-Policy‎ باعث افزایش خطر  Clickjacking، MIME sniffing و تزریق اسکریپت می‌شود. از همه خطرناک‌تر، فعال بودن دسترسی Root برای اجرای اسکریپت‌های PHP یا Processهای Backend است که در صورت Compromise، مهاجم را مستقیماً به سطح دسترسی‌های سیستمی می‌رساند. بنابراین Misconfiguration یک تهدید جدی و پُرتکرار است که تنها با Hardening استاندارد و بررسی‌های دوره‌ای قابل پیشگیری است. بیش از ۵۰٪ حملات علیه Apache/Nginx ناشی از پیکربندی‌های اشتباه است.
نمونه‌های رایج:

• فعال بودن Directory Listing
• وجود مسیرهای test و backup
• SSL/TLS  تنظیم نشده یا ضعیف
• استفاده از نسخه‌های قدیمی ماژول‌ها

نمونه‌های واقعی Misconfiguration در آسیب‌پذیری‌های سرویس‌های لینوکسی

• اجرای Nginx بدون پارامترهای امنیتی X-Frame-Options یا Content-Security-Policy
• استفاده از گواهی‌های منقضی‌شده یا Self-signed در محیط  Production
• فعال بودن Root Directory برای اسکریپت‌های  PHP

آسیب‌پذیری‌های Docker و Kubernetes

با رشد استفاده از زیرساخت‌های Container-Based، امنیت Docker و Kubernetes به یکی از چالش‌های حیاتی سازمان‌ها تبدیل شده است. یکی از جدی‌ترین تهدیدها در آسیب‌پذیری‌های سرویس‌های لینوکسی Container Escape است که مهاجم می‌تواند با سوءاستفاده از آسیب‌پذیری‌های Docker Engine،Runc یا قابلیت‌های اجباری Kernel، از محیط ایزوله‌شده کانتینر خارج شده و مستقیماً به Host OS دسترسی پیدا کند. پیامد این حمله شامل اجرای دستورات با سطح دسترسی Root، گسترش lateral movement در کل cluster  و دستکاری شبکه و دیتابیس سازمان است. نمونه‌های واقعی این تهدید در سال 2024 شامل سوءاستفاده از CVEهای runc  و مشکلات namespace و cgroup در نسخه‌های قدیمی Kubernetes بوده است.

بیشتر بخوانید: ررسی راهکارهای تخصصی لینوکس یا Linux Solutions در زیرساخت‌های مدرن فناوری اطلاعات

همچنین دسترسی API ناایمن Misconfigured API Access یا یکی از رایج‌ترین ضعف‌هاست. Docker و Kubernetes  دارای APIهای مدیریتی هستند و در صورت پیکربندی نادرست، مهاجم می‌تواند بدون احراز هویت یا با Service Accountهای بیش از حد Privileged، به تنظیمات حیاتی سرور و کانتینرها دسترسی یابد. اکسپوز شدن پورت‌های Kubelet به اینترنت نیز این خطر را تشدید می‌کند.

ضعف در RBAC یا Role-Based Access Control نیز تهدیدی مهم است. پیکربندی نادرست نقش‌ها، مثل تخصیص گسترده cluster-admin، نبود محدودیت روی Namespaceها یا ذخیره‌سازی Secrets بدون Encryption در ETCD، می‌تواند به privilege escalation و اجرای دستورات غیرمجاز منجر شود.

در کنار این موارد، آسیب‌پذیری‌های سرویس‌های لینوکسی جدید Docker Engine و runc نیز بسیار خطرناک هستند. نقص در Seccomp، ضعف در Mount Propagation و overlayfs یا امکان نوشتن در مسیرهای حساس host، زمینه را برای حملات Container Escape  فراهم می‌کند. بنابراین، امنیت کانتینرها نیازمند بررسی مداوم، به‌روزرسانی منظم، و پیاده‌سازی سیاست‌های سخت‌گیرانه RBAC و API Access است تا از نفوذ و آسیب به کل زیرساخت جلوگیری شود. زیرساخت‌های container-based  در سازمان‌ها سرعت گرفته‌اند، اما نسبت به قبل فضای حمله بسیار گسترده‌تر شده است.

Container Escape یا فرار کانتینر در آسیب‌پذیری‌های سرویس‌های لینوکسی

در این حمله، مهاجم از آسیب‌پذیری‌های Docker Engine،runc  یا قابلیت‌های اجباری Kernel برای خروج از محیط ایزوله‌شده کانتینر استفاده می‌کند.

نتیجه Container Escape چیست؟

• دسترسی مستقیم به Host OS
• امکان اجرای فرامین Root
• گسترش Lateral Movement در Cluster
• دستکاری شبکه و دیتابیس سازمان

نمونه‌های اخیر

• آسیب‌پذیری‌های runc در سال 2024 در حملات فعال مورد سوءاستفاده قرار گرفتند.
• مشکلات Namespace و cgroup در نسخه‌های قدیمی  Kubernetes

Misconfigured API Access یا دسترسی API ناایمن

داکار و کوبرنتیز هر دو دارای APIهای مدیریتی هستند.
رایج‌ترین حملات:

• دسترسی بدون احراز هویت
• استفاده از Service Accountهای بیش‌ازحد privileged
• اکسپوز شدن پورت‌های Kubelet به اینترنت

ضعف در RBAC

سیستم Role-Based Access Control در Kubernetes باید دقیق پیکربندی شود؛ هر اشتباه کوچکی باعث Privilege Escalation می‌شود.

مثال‌ها

• نقشcluster-admin به صورت گسترده داده شده
• نبود محدودیت بر روی namespaceها
• استفاده از Secrets بدون encryption در ETCD

آسیب‌پذیری‌های جدید Docker Engine و runc

در سال‌های اخیر موارد زیر بسیار خطرناک بوده‌اند:

• نقص در seccomp
• ضعف در mount propagation
• آسیب‌پذیری‌های مربوط به overlayfs
• امکان نوشتن در مسیرهای حساس داخل  host

این موارد زمینه‌ساز حملات Container Escape هستند.

. آسیب‌پذیری‌های Package Managers APT

حملات مرتبط با Package Managers یکی ازخطرناک‌ترین تهدیدات امنیتی در سال‌های اخیر هستند، چرا که حتی نصب یک بسته نرم‌افزاری ساده می‌تواند کل سیستم یا شبکه سازمان را در معرض آلوده شدن قرار دهد.

یکی از مهم‌ترین سناریوها، آلوده شدن مخازن Repository Compromise یا است. اگر یک مخزن APT ،YUM یا DNF  توسط مهاجم compromise شود، بسته‌های آلوده به جای نسخه‌های قانونی در دسترس مدیران قرار می‌گیرد و هزاران سرور می‌توانند همزمان آلوده شوند. نمونه‌های متداول شامل اضافه شدن Repositoryهای ناشناس، استفاده از کلیدهای GPG آلوده و انتشار کتابخانه‌های تروجان‌دار مشابه حمله Log4j در دنیای جاوا هستند.

علاوه بر این، نصب بسته‌های Backdoored یکی دیگر از تهدیدات جدی است. در بسیاری از سیستم‌های لینوکسی، مدیران به دلیل عدم شفافیت پکیج‌ها، نمی‌دانند چه نرم‌افزارهایی روی سرور نصب شده‌اند. پکیج‌های Backdoor معمولاً شامل اسکریپت‌های post-install مشکوک، ایجاد اتصالات Outbound به سرورهای مهاجم و ساخت حساب‌های کاربری مخفی هستند، که زمینه اجرای دستورات مخرب و سرقت اطلاعات را فراهم می‌کنند.

در نهایت، حملات Supply Chain گسترده‌ترین تهدید را ایجاد می‌کنند. در این حملات، مهاجم به جای حمله مستقیم به سرور، به Upstream پروژه یا pipeline CI/CD نفوذ می‌کند و با آلوده کردن Dependencyها یا تغییر در فرآیند انتشار، نسخه‌های نرم‌افزاری آلوده را منتشر می‌کند. نتیجه چنین حملاتی، انتشار نرم‌افزار آلوده به صدها یا هزاران سیستم در شبکه سازمانی است که شناسایی و مقابله با آن دشوار است.

بنابراین، برای کاهش ریسک، سازمان‌ها باید مخازن رسمی را تایید کنند، پکیج‌ها را با Checksum و GPG verification نصب کنند و فرآیندهای CI/CD و مدیریت Dependencyها را به‌صورت امن و پایش‌شده نگهداری کنند. حملات Supply Chain یکی از جدی‌ترین تهدیدهای سال‌های اخیر است. مدیران IT باید بدانند که حتی نصب یک بسته ساده نیز می‌تواند سیستم را آلوده کند.

آلوده شدن مخازن APT / YUM / DNF

اگر مخزن  Repository و Compromiseشود، مهاجم می‌تواند Packageهای آلوده را Replace کند و هزاران سرور را آلوده کند.

نمونه تهدیدها

• اضافه شدن Repositoryهای ناشناس
• استفاده از کلیدهای GPG آلوده
• تروجان‌دار بودن کتابخانه‌ها مشابه Log4j در دنیای جاوا

 نصب بسته _­های Backdoored

در بسیاری از سیستم‌های لینوکسی قدیمی، مدیران دقیقاً نمی‌دانند چه پکیج‌هایی نصب شده‌اند.
پکیج‌های backdoor معمولاً دارای نشانه‌های زیر هستند:

• اسکریپت‌های post-install مشکوک
• اتصالات outbound به سرورهای ناشناس
• ایجاد کاربر مخفی

حملات Supply Chain

در این حملات، مهاجم به جای هدف قرار دادن سرور، به نقطه‌ی Upstream حمله می‌کند:

• حمله به GitHub پروژه
• آلوده‌کردن  Dependency
• تغییر در  pipeline CI/CD
• انتشار نسخه جدید آلوده

آسیب‌پذیری‌های پایگاه‌داده MongoDB / MySQL / PostgreSQL

Remote Code Execution یا RCE

• توضیح: با استفاده از CVEهای موجود در سرویس‌ها، مهاجم می‌تواند کد از راه دور اجرا کند.
• پیامد: دسترسی root یا admin به دیتابیس، تغییر داده‌ها، پاکسازی یا باج‌افزار.

Anonymous Access

• توضیح: دیتابیس بدون رمز یا با Credential پیش‌فرض فعال است.
• پیامد: دسترسی کامل مهاجم به داده‌های حساس و کنترل سیستم.

تنظیمات پیش‌فرض ناامن

• توضیح: bind-address روی 0.0.0.0، SSL غیر فعال، replication بدون  auth
• پیامد: سرقت یا دستکاری داده‌ها و آماده‌سازی حملات بعدی.

.Misconfiguration سیستم لینوکس

پیکربندی نادرست یکی از اصلی‌ترین دلایل نفوذ به سرورهای لینوکسی است. بر اساس تحلیل‌های عملیاتی SOCها و گزارش‌های امنیتی، بیش از ۶۵٪ حملات موفق به دلیل تنظیمات اشتباه، سرویس‌های بلااستفاده یا نبود سیاست‌های سخت‌گیرانه امنیتی اتفاق می‌افتد. در ادامه مهم‌ترین نمونه‌های Misconfiguration به همراه توضیحات کامل ارائه شده‌اند.

پورت‌های باز غیرضروری یا Unnecessary Open Ports

بسیاری از سرورها دارای سرویس‌ها و پورت‌هایی هستند که مدیر سیستم از آن بی‌اطلاع است یا در گذشته استفاده شده و اکنون رها شده‌اند. این پورت‌ها به‌راحتی توسط ابزارهایی مانند Shodan ،Masscan یا Nmap شناسایی می‌شوند و مهاجمان می‌توانند از آن‌ها برای Brute Force،Exploit یا RCE استفاده کنند.

پیامد:

• افزایش سطح حمله
• احتمال دسترسی غیرمجاز
• سوءاستفاده از سرویس‌های آسیب‌پذیر
• آماده‌سازی برای نفوذ گسترده‌تر

فایروال غیرفعال یا نادرست پیکربندی‌شده

غیرفعال‌بودن Firewall یا تنظیمات اشتباه در iptables / firewalld / ufw موجب می‌شود تمام پورت‌ها و سرویس‌ها بدون هیچ محدودیتی در معرض اینترنت قرار بگیرند. در چنین شرایطی مهاجم می‌تواند بدون مانع به سرور متصل شده و سرویس‌ها را اسکن کند.

پیامد:

• حملات شبکه‌ای گسترده
• Scan  کامل از سرویس‌ها و نسخه‌ها
• بهره‌برداری آسان از آسیب‌پذیری‌ها
• عبور بدون محدودیت مهاجم به لایه‌های داخلی سیستم

اجرای SSH روی پورت پیش‌فرض یا Port 22

توضیح: پورت22  یکی از پرترافیک‌ترین پورت‌ها از دید بات‌نت‌ها و اسکریپت‌های Brute Force است. اجرای SSH روی پورت پیش‌فرض باعث می‌شود سرور در چند ثانیه هدف حملات رمز عبور قرار گیرد.

پیامد:

• افزایش احتمال ورود غیرمجاز
• شکستن پسورد و دسترسی مستقیم مهاجم
• تلاش برای دسترسی Root یا Sudo بدون محدودیت
• مصرف منابع سرور به‌دلیل حملات مداوم  Brute Force

رمزهای ضعیف یا Weak Credentials

توضیح:

استفاده از پسوردهای ساده، تکراری، قابل‌حدس یا اشتراک‌گذاری Credential بین چند کاربر یکی از رایج‌ترین خطاهای امنیتی است. مهاجمان با ابزارهایی مانند Hydra،Medusa  یا SSH Brute Force در چند دقیقه پسوردهای ضعیف را کشف می‌کنند.

پیامد:

• نفوذ مستقیم به سرویس‌ها و حساب‌های کاربری
• اجرای privilege escalation برای رسیدن به سطح  root
• سرقت داده‌ها و ایجاد  Backdoor
• استفاده مهاجم از سرور به‌عنوان نقطه حمله به شبکه داخلی

کرنل و پکیج‌های آپدیت‌نشده یا Unpatched Kernel & Packages در آسیب‌پذیری‌های سرویس‌های لینوکسی

توضیح:

عدم نصب Patchها وHotfixها به این معنی است که سیستم همچنان در برابر CVEهای شناخته‌شده آسیب‌پذیر است. بسیاری از Exploitهای عمومی یا Public Exploit برای کرنل لینوکس، Sudo ،OpenSSH ،OpenSSL و glibc منتشر شده و مهاجم بدون هیچ تلاش خاصی می‌تواند از آن‌ها استفاده کند.

پیامد:

• اجرای حملات RCE از راه دور
• Privilege Escalation  از کاربر معمولی به root
• کرش یا DoS سرویس‌ها
• کنترل کامل سرور از طریق اکسپلویت‌های شناخته‌شده

غیرفعال بودن SELinux / AppArmor

توضیح:

SELinux و AppArmor ابزارهایMandatory Access Control یا MAC هستند که رفتار برنامه‌ها را به صورت سخت‌گیرانه کنترل می‌کنند. غیرفعال بودن این ابزارها باعث می‌شود هر سرویس یا اسکریپت بتواند آزادانه به فایل‌ها و منابع سیستم دسترسی پیدا کند. در سیستم‌هایی که SELinux/AppArmor خاموش هستند، Exploitهای محلی بسیار راحت‌تر به root دسترسی پیدا می‌کنند.

پیامد:

• امکان سوءاستفاده از آسیب‌پذیری‌های  Local
• اجرای کد مخرب در سطح  root
• دور زدن سیاست‌های امنیتی سیستم
• افزایش خطر Persistence ماندگاری طولانی‌مدت مهاجم