الصفحة الرئيسية
Cyber-Security

تحذير من وكالة الأمن السيبراني الأمريكية: ثغرة خطيرة في نواة

Cybersecurity Arab

تُعرف الثغرة برقم CVE-2026-31431 ويُطلق عليها اسم "Copy Fail"، وتحمل درجة خطورة CVSS 7.8 (عالية)، وتصنف تحت CWE-699 (نقل الموارد بشكل غير صحيح بين المجالات). وتقع الثغرة في وحدة algif_aead التابعة لنظام AF_ALG التشفيري في نواة لينكس، وهي خلل منطقي في قالب التشفير المصادقة يتسبب في سوء معالجة الذاكرة أثناء العمليات الداخلية.

CISA Warns of Linux Kernel 0-Day Vulnerability Exploited in Attacks

تفاصيل الثغرة الخطيرة

ما يجعل هذه الثغرة خطيرة للغاية هو سهولة استغلالها: يكفي مستخدم محلي غير مميز (unprivileged) scriptPython بحجم 732 بايت لترقية صلاحياته إلى صلاحيات الجذر (root) بشكل موثوق.

خلل عمره تسع سنوات مخفي في وضح النهار

على الرغم من الإعلان عن الثغرة علناً في 29 أبريل 2026، إلا أن جذورها تمتد إلى ما يقرب من عقد من الزمن. فقد تم إدخالها عبر ثلاثة تغييرات منفصلة وغير ضارة في نواة لينكس في الأعوام 2011 و2015 و2017، لم تثير أي شكوك عند حدوثها بشكل فردي.

صورة توضيحية من المقال
صورة توضيحية من المقال

تؤثر الثغرة على جميع التوزيعات الرئيسية لنواة لينكس التي تم بناؤها منذ عام 2017، بما في ذلك:

  • Ubuntu 24.04 LTS
  • Amazon Linux 2023
  • Red Hat Enterprise Linux 10.1
  • SUSE 16
  • Debian
  • Fedora
  • Arch Linux

آلية الهجوم

يستغل الهجوم تفاعل واجهة AF_ALG، واستدعاء النظام splice()، وسوء معالجة الأخطاء أثناء فشل عملية النسخ. وينتج عن ذلك كتابة متحكم بها لأربعة بايتات في ذاكرة التخزين المؤقت للصفحات الخاصة بالنواة، مما يسمح للمهاجم بفساد الملفات الثنائية setuid وغيرها من البيانات الحساسة التي تديرها النواة بالكامل داخل مساحة النواة، متجاوزاً بذلك الحماية التقليدية في مساحة المستخدم.

مزايا استغلال الثغرة

تتميز هذه الثغرة بأنها:

  • لا تتطلب صلاحيات الجذر داخل الحاويات
  • لا تحتاج إلى وحدات نواة
  • لا تعتمد على الوصول إلى الشبكة

مما يجعلها أداة قوية بعد الاستغلال في البيئات الحاوية، بما في ذلك مجموعات Kubernetes ومشغلات Docker CI.

إجراءات CISA والتحذيرات

أضافت CISA ثغرة CVE-2026-31431 إلى قائمة KEV في 1 مايو 2026، مع تحديد موعد نهائي للإصلاح في 15 مايو 2026 لجميع الوكالات المدنية الفيدرالية. تتوفر التصحيحات في إصدارات نواة لينكس التالية:

  • 6.18.22
  • 6.19.12
  • 7.0

بالنسبة لمنظمات Red Hat Enterprise Linux، يمكن تطبيق إجراءات التخفيف على مستوى التكوين أثناء نشر التصحيحات. توجه CISA جميع المنظمات إلى تطبيق إجراءات التخفيف الصادرة عن البائعين فوراً، أو اتباع إرشادات BOD 22-01 للخدمات السحابية، أو التوقف عن استخدام الأنظمة غير المصححة.

حثت فرق الأمن على تدقيق إصدارات نواة لينكس عبر عبء العمل السحابي والبيئات الحاوية والبنية التحتية المحلية دون تأخير، حيث تم تأكيد الاستغلال النشط في البرية بالفعل.

إرسال تعليق