कैसे एक मिसिंग कॉपी-ऑन-राइट गार्ड ने लिनक्स कर्नेल सुरक्षा मॉडल को तोड़ दिया

एक बहु-मिलियन डॉलर की रक्षा रणनीति आमतौर पर इस धारणा पर निर्भर करती है कि कोर ऑपरेटिंग सिस्टम कर्नेल एक स्थिर, अभेद्य तिजोरी है। हम फ़ायरवॉल नियमों, पहचान प्रदाताओं और एंडपॉइंट डिटेक्शन स्क्रिप्ट को परिष्कृत करने में वर्षों बिताते हैं, फिर भी वास्तुशिल्प आधार अक्सर सबसे नाजुक घटक बना रहता है। लिनक्स मेमोरी दक्षता को प्रबंधित करने के लिए कॉपी-ऑन-राइट (copy-on-write) नामक एक अनुकूलन का उपयोग करता है। यह प्रणाली सुनिश्चित करती है कि कई प्रक्रियाएं एक ही भौतिक मेमोरी साझा करें जब तक कि किसी एक को इसे संशोधित करने की आवश्यकता न हो। उस बिंदु पर, कर्नेल को एक निजी प्रतिलिपि (private copy) बनानी चाहिए ताकि परिवर्तन अन्य उपयोगकर्ताओं को प्रभावित न करे। CVE-2026-31635 के मामले में, यह बुनियादी वादा विफल रहा।

मैंने पिछले 48 घंटे DirtyDecrypt, जिसे DirtyCBC के नाम से भी जाना जाता है, के लिए जारी किए गए प्रूफ-ऑफ-कांसेप्ट कोड की समीक्षा करने में बिताए हैं। यह भेद्यता एक वास्तुशिल्प विरोधाभास का पाठ्यपुस्तक उदाहरण है। लिनक्स कर्नेल को तेज़ और मेमोरी-कुशल बनाने के लिए डिज़ाइन किया गया तंत्र ही वह तंत्र है जिसने एक कम-विशेषाधिकार प्राप्त उपयोगकर्ता को रूट-स्वामित्व वाली फ़ाइलों को ओवरराइट करने की अनुमति दी। पिछले तीन महीनों में हमने इस विशिष्ट मेमोरी भ्रष्टाचार तर्क का यह तीसरा प्रमुख रूपांतर देखा है। यह मुझे एक ऐसे जहाज की याद दिलाता है जिसका ढांचा बाहर से अभेद्य है लेकिन अपने स्वयं के आंतरिक ईंधन को छूने पर घुल जाता है।

rxgk पेजकैश भेद्यता की कार्यप्रणाली (the mechanics of the rxgk pagecache vulnerability)

यह दोष rxgk_decrypt_skb फ़ंक्शन के भीतर मौजूद है। यह कोड नेटवर्क स्टैक के प्राप्त पक्ष (receive side) पर आने वाले सॉकेट बफ़र्स के डिक्रिप्शन को संभालता है। जब कर्नेल इन बफ़र्स को प्रोसेस करता है, तो वह उन मेमोरी पेजों को संभालता है जो कभी-कभी अन्य प्रक्रियाओं के पेज कैश के साथ साझा किए जाते हैं। सामान्य परिस्थितियों में, साझा पेज पर कोई भी राइट (write) होने से पहले लिनक्स कर्नेल कॉपी-ऑन-राइट ऑपरेशन शुरू करता है। यह एक प्रक्रिया के डेटा को दूसरी प्रक्रिया के मेमोरी स्पेस में जाने से रोकता है।

Zellic शोधकर्ताओं ने पाया कि rxgk_decrypt_skb में इस COW गार्ड की कमी थी। जब कर्नेल डेटा को एक ऐसे बफ़र में डिक्रिप्ट करता है जो एक साझा पेज होता है, तो वह पहले निजी प्रतिलिपि बनाए बिना सीधे भौतिक मेमोरी में डिक्रिप्टेड सामग्री लिख देता है। यह मानक फ़ाइल सिस्टम अनुमतियों और मेमोरी सुरक्षा को बायपास कर देता है। एक हमलावर /etc/shadow जैसी संवेदनशील फ़ाइल या SUID बाइनरी को अपने मेमोरी स्पेस में मैप कर सकता है और फिर उस फ़ाइल के पेज कैश में डेटा लिखने के लिए कर्नेल को मजबूर करने हेतु कमजोर नेटवर्क पाथ का उपयोग कर सकता है। एक बार जब कर्नेल पेज कैश को डिस्क पर फ्लश कर देता है, तो संशोधन स्थायी हो जाता है।

कॉपी फेल से डर्टीडिक्रिप्ट तक के वंश का पता लगाना (tracing the lineage from copy fail to dirtydecrypt)

DirtyDecrypt कोई अकेली घटना नहीं है। यह भेद्यताओं के एक परिवार का वंशज है जो अप्रैल 2026 में कॉपी फेल (CVE-2026-31431) के साथ शुरू हुआ था। Theori के शोधकर्ताओं ने सबसे पहले पहचाना कि कर्नेल में क्रिप्टोग्राफ़िक सॉकेट इंटरफ़ेस में समान तर्क दोष थे। एक हफ्ते बाद, Dirty Frag सामने आया। इसके बाद Fragnesia आया, जिसने XFRM सबसिस्टम को लक्षित किया। इनमें से प्रत्येक भेद्यता का मूल कारण एक ही है: कर्नेल-स्तरीय राइट्स करने से पहले पेज स्वामित्व को सत्यापित करने में विफलता।

खुलासों का यह क्रम इस बात पर प्रकाश डालता है कि लिनक्स कर्नेल आधुनिक नेटवर्क मेमोरी अनुकूलन को कैसे संभालता है, इसमें एक प्रणालीगत समस्या है। MSG_SPLICE_PAGES और अन्य उच्च-प्रदर्शन शून्य-प्रतिलिपि (zero-copy) तंत्रों की शुरुआत ने ऐसी जटिलता पैदा कर दी है जिसे वर्तमान COW बुनियादी ढांचा विनियमित करने के लिए संघर्ष कर रहा है। 0xdeadbeefnetwork के रूप में जाने जाने वाले शोधकर्ता ने नोट किया कि एक बार जब एक संस्करण के लिए फिक्स सार्वजनिक ट्री में आ जाता है, तो अगले संस्करण को हथियार बनाना सुरक्षा पेशेवरों के लिए एक मानक अभ्यास बन जाता है। n-day विकास का यह तेज़ चक्र एक अनुस्मारक है कि एक सबसिस्टम में पैच दूसरे की सुरक्षा की गारंटी नहीं देता है जो समान तर्क का उपयोग करता है।

विशिष्ट वितरण खतरे के दायरे में क्यों बने हुए हैं (why specific distributions remain in the line of fire)

CVE-2026-31635 का प्रभाव कर्नेल कॉन्फ़िगरेशन पर बहुत अधिक निर्भर करता है। भेद्यता के लिए CONFIG_RXGK विकल्प सक्षम होना आवश्यक है। यही कारण है कि Fedora, Arch Linux, और openSUSE Tumbleweed जैसे वितरण अधिक जोखिम में हैं। ये वितरण अक्सर अत्याधुनिक सुविधाओं और व्यापक हार्डवेयर समर्थन का पक्ष लेते हैं, जिसमें विशेष नेटवर्किंग और क्रिप्टोग्राफ़िक मॉड्यूल सक्षम करना शामिल है जो RHEL या Debian Stable जैसे अधिक रूढ़िवादी एंटरप्राइज़ रिलीज़ में अक्षम होते हैं।

क्लाउड वातावरण में, यह भेद्यता कंटेनर अलगाव (container isolation) के लिए एक महत्वपूर्ण जोखिम पैदा करती है। यदि एक वर्कर नोड असुरक्षित कर्नेल चलाता है, तो एक समझौता किया गया कंटेनर अपने स्थानीय वातावरण से बचने के लिए DirtyDecrypt प्रिमिटिव का उपयोग कर सकता है। साझा बाइनरी या कर्नेल संरचनाओं के लिए पेज कैश को ओवरराइट करके, हमलावर एक प्रतिबंधित पॉड (pod) से होस्ट पर पूर्ण रूट एक्सेस तक जा सकता है। यह प्रभावी रूप से उस मल्टी-टेनेंट सुरक्षा मॉडल को ध्वस्त कर देता है जिस पर कुबेरनेट्स (Kubernetes) और अन्य ऑर्केस्ट्रेटर वर्कलोड अलगाव के लिए भरोसा करते हैं।

किलस्विच बहस और कर्नेल पैचिंग का भविष्य (the killswitch debate and the future of kernel patching)

कर्नेल खुलासों की मात्रा ने हमें लिनक्स सुरक्षा प्रबंधित करने के तरीके पर पुनर्विचार करने के लिए मजबूर किया है। एक प्रमुख कर्नेल मेंटेनर साशा लेविन ने हाल ही में एक कर्नेल किलस्विच (kernel killswitch) का प्रस्ताव दिया है। यह उपकरण एक व्यवस्थापक को रीबूट के बिना रनटाइम पर एक विशिष्ट कर्नेल फ़ंक्शन को अक्षम करने की अनुमति देता है। यदि DirtyDecrypt जैसी ज़ीरो-डे भेद्यता एक विशिष्ट नेटवर्क फ़ंक्शन में खोजी जाती है, तो व्यवस्थापक कर्नेल को उस फ़ंक्शन को निष्पादित करना बंद करने और इसके बजाय एक निश्चित मान वापस करने के लिए कह सकता है। यह जहाज के ढांचे के लिए एक आपातकालीन शट-ऑफ वाल्व के रूप में कार्य करता है जबकि एक स्थायी पैच तैयार किया जा रहा हो।

कुछ डेवलपर्स स्वयं किलस्विच के सुरक्षा निहितार्थों के बारे में चिंतित हैं। यदि कोई हमलावर किलस्विच को संलग्न करने के लिए पर्याप्त विशेषाधिकार प्राप्त कर लेता है, तो वे सैद्धांतिक रूप से सुरक्षा मॉड्यूल या ऑडिटिंग कार्यों को अक्षम कर सकते हैं। हालांकि, लिनक्स पारिस्थितिकी तंत्र की वर्तमान वास्तविकता यह है कि आधुनिक एक्सप्लॉइट विकास की गति के लिए पैचिंग बहुत धीमी है। किलस्विच उन संगठनों के लिए एक प्रतिक्रियाशील उपाय प्रदान करता है जो नए कर्नेल संस्करण के पूर्ण प्रतिगमन परीक्षण (regression test) की प्रतीक्षा नहीं कर सकते। यह इस तथ्य के प्रति एक व्यावहारिक प्रतिक्रिया है कि हमारा सॉफ़्टवेयर बग-मुक्त होने के लिए तेजी से जटिल होता जा रहा है।

रॉकी लिनक्स और त्वरित सुरक्षा सुधारों की ओर कदम (rocky linux and the move toward accelerated security fixes)

रॉकी लिनक्स (Rocky Linux) ने एक समर्पित सुरक्षा रिपॉजिटरी पेश करके एक अलग दृष्टिकोण अपनाया है। परंपरागत रूप से, डाउनस्ट्रीम वितरण अपने उपयोगकर्ताओं को अपडेट भेजने से पहले अपस्ट्रीम प्रदाताओं द्वारा एक जांचे गए पैच को जारी करने की प्रतीक्षा करते हैं। यह भेद्यता की एक खिड़की बनाता है जब PoC सार्वजनिक होता है लेकिन आधिकारिक अपडेट QA चक्र में अटका होता है। नई रॉकी लिनक्स सुरक्षा रिपॉजिटरी एक ऑप्ट-इन सुविधा है जो उपलब्ध होते ही तत्काल सुधार भेजती है, भले ही वे अभी तक मेनलाइन कर्नेल तक नहीं पहुंचे हों।

यह कदम विवादास्पद है क्योंकि यह सख्त अपस्ट्रीम संगतता को तोड़ता है। यदि रॉकी लिनक्स टीम एक बग को पैच करती है और अपस्ट्रीम मेंटेनर बाद में एक अलग फिक्स चुनते हैं, तो दोनों कर्नेल अलग हो जाएंगे। मेंटेनर इस जोखिम को स्वीकार करते हैं लेकिन मानते हैं कि उनके उपयोगकर्ताओं की सुरक्षा पूर्ण संस्करण संरेखण से अधिक महत्वपूर्ण है। यह सक्रिय शोषण के सामने चपलता को प्राथमिकता देने की दिशा में उद्योग में एक व्यापक बदलाव को दर्शाता है। व्यवस्थापकों के लिए, इसका अर्थ पारंपरिक रिलीज़ चक्र की स्थिरता और अधिक आक्रामक पैचिंग रणनीति के लचीलेपन के बीच चयन करना है।

कंटेनरीकृत और बेयर-मेटल वातावरण में जोखिम को कम करना (mitigating risk in containerized and bare-metal environments)

CVE-2026-31635 से बचाव के लिए केवल एक मानक अपडेट से अधिक की आवश्यकता है। संगठनों को पहले यह सत्यापित करना चाहिए कि क्या उनके सिस्टम असुरक्षित भी हैं। CONFIG_RXGK के लिए कर्नेल कॉन्फ़िगरेशन की जाँच करना पहला कदम है। यदि मॉड्यूल सक्षम है लेकिन आपके वर्कलोड के लिए आवश्यक नहीं है, तो कर्नेल मॉड्यूल डिनाइलिस्ट (denylist) के माध्यम से इसे अक्षम करना सबसे प्रभावी तत्काल शमन है। यह कुछ मामलों में रीबूट की आवश्यकता के बिना हमले की सतह को पूरी तरह से हटा देता है।

जोखिम के दृष्टिकोण से, आपको यह मान लेना चाहिए कि यदि स्थानीय उपयोगकर्ताओं के पास शेल एक्सेस है, तो उनके पास इस PoC को निष्पादित करने की क्षमता है। यह /etc/ निर्देशिका और SUID बाइनरी की सख्त निगरानी को आवश्यक बनाता है। आधुनिक सुरक्षा उपकरण जो पेज कैश अखंडता की निगरानी करते हैं, आपको सचेत कर सकते हैं यदि कोई प्रक्रिया अपरंपरागत मेमोरी पाथ के माध्यम से केवल-पढ़ने योग्य (read-only) फ़ाइलों को संशोधित करने का प्रयास करती है। पैचिंग स्वर्ण मानक बना हुआ है, लेकिन जब तक आपका बेड़ा अपडेट नहीं हो जाता, तब तक प्रतिबंधात्मक Seccomp प्रोफाइल और AppArmor नीतियां स्थानीय प्रक्रियाओं की कमजोर नेटवर्क कार्यों के साथ बातचीत करने की क्षमता को सीमित कर सकती हैं।

अपने कर्नेल कॉन्फ़िगरेशन का ऑडिट करें और सत्यापित करें कि क्या आपके वितरण ने CVE-2026-31635 के लिए कोई फिक्स जारी किया है। Arch या Fedora चलाने वाले संगठनों को इन अपडेट को तुरंत प्राथमिकता देनी चाहिए। यदि आप लिनक्स सर्वरों के एक बड़े बेड़े का प्रबंधन करते हैं, तो व्यापक फीचर सेट वाले कर्नेल का उपयोग करने के दीर्घकालिक निहितार्थों पर विचार करें और मूल्यांकन करें कि क्या आपकी सुरक्षा स्थिति के लिए अधिक कठोर, न्यूनतम कर्नेल कॉन्फ़िगरेशन उपयुक्त है।

स्रोत (Sources)

• NIST National Vulnerability Database (NVD) CVE-2026-31635 Record
• Linux Kernel Mailing List (LKML) Killswitch Proposal by Sasha Levin
• Zellic and V12 Security Technical Report on DirtyDecrypt
• Rocky Linux Security Repository Documentation
• MITRE ATT&CK Framework: Exploitation for Privilege Escalation (T1068)

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है। प्रदान किए गए तकनीकी विवरण व्यवस्थापकों को जोखिमों को समझने और आवश्यक बचाव लागू करने में मदद करने के लिए हैं।