الثغرة المكتشفة في نواة لينكس
تم اكتشاف ثغرة أمنية جديدة في نواة لينكس، تحمل المعرف CVE-2026-31431، بمستوى خطورة 7.8 على مقياس CVSS. وقد أثارت هذه الثغرة قلق المجتمع مفتوح المصدر. وفي هذا الصدد، كتب فريق CISA (وكالة الأمن السيبراني والبنية التحتية الأمريكية):
«إن هذه الثغرة في نواة لينكس، المعروفة باسم «نقل موارد غير صحيح بين المجالات»، تشكل وسيلة هجوم متكررة للمهاجمين الإلكترونيين، كما تشكل تهديدًا كبيرًا للمؤسسات الحكومية».
تؤثر هذه الثغرة على مجموعة واسعة من توزيعات لينكس الشهيرة، بما في ذلك أوبنتو، ريد هات، سوزي، دبيان، فيدورا، آرتش لينكس، ولينكس أمازون (AWS). وتؤكد مايكروسوفت أن هذه الثغرة قد تعرض ملايين الأجهزة للخطر.
آلية استغلال الثغرة
حذر باحثو مايكروسوفت من أن استغلال هذه الثغرة يسمح بارتفاع الصلاحيات محليًا إلى مستوى الجذر، مما يشكل تهديدًا حاسمًا في البيئات متعددة المستأجرين والمُعزَّلة باستخدام هذه التوزيعات. وقد نشر فريق ريد هات تحذيرًا خاصًا بشأن هذه الثغرة الشهر الماضي، موضحًا:
«تم اكتشاف خلل في واجهة خوارزمية التشفير algif_aead في نواة لينكس. وقد تم إدخال عملية «في المكان» غير صحيحة، حيث اختلفت خرائط بيانات المصدر والوجهة. ويمكن أن يؤدي ذلك إلى سلوك غير متوقع أو مشاكل تتعلق بسلامة البيانات أثناء عمليات التشفير، مما يؤثر بشكل محتمل على موثوقية الاتصالات المشفرة».
أوضحت مايكروسوفت أن الثغرة تنبع من خلل منطقي في نظام التشفير بالنواة، تحديدًا في وحدة algif_aead التابعة لواجهة AF_ALG، والتي تم تقديمها عام 2017. وقد أدت عملية تحسين «في المكان» في ذلك الوقت إلى قيام النواة بإعادة استخدام ذاكرة المصدر كوجهة أثناء عمليات التشفير.
يمكن للمهاجمين استغلال التفاعل بين واجهة AF_ALG ونداء النظام splice() لتنفيذ كتابة متحكم بها لأربعة بايت في ذاكرة التخزين المؤقت للصفحات بالنواة. ويمكن تنفيذ هذا الهجوم عبر سكريبت بايثون قصير يبلغ طوله حوالي 732 بايت، مما يسمح بتعديل الملفات التنفيذية ذات الصلاحيات العالية مثل /usr/bin/su، وتمكين تنفيذ الأوامر بصلاحيات الجذر.
أهمية الثغرة في بيئات الحوسبة السحابية
على عكس العديد من ثغرات النواة، لا تعتمد هذه الثغرة على ظروف سباق، ويمكن تنفيذها بشكل حتمي ودون تعديل عبر توزيعات لينكس المختلفة، مما يجعلها ذات موثوقية عالية. وهذا ما يجعلها خطيرة بشكل خاص في بيئات الحوسبة السحابية، حيث يمكن لحاوية واحدة مصابة أن تعرض العقدة بأكملها للخطر، نظرًا لأن الحاويات تشترك في نواة المضيف.
يمكن للمهاجمين الذين يمتلكون وصولًا محدودًا، مثل عبر SSH أو وظائف CI/CD المخترقة، رفع الصلاحيات والتحرر من الحاويات، مما يؤدي إلى انتشار العدوى بين المستأجرين المتعددين.
الإجراءات الموصى بها
حتى الآن، اقتصر الاستغلال النشط على إثباتات المفهوم (PoC) فقط. ومع ذلك، أطلقت مايكروسوفت توقيعات كشفية عبر Microsoft Defender XDR لمساعدة المؤسسات على تحديد محاولات الاستغلال. وحثت مايكروسوفت فرق الأمن على تحديث نُظم النواة المتأثرة بمجرد توفر التحديثات من قبل الموردين.
وفي الوقت الحالي، يمكن تقليل التعرض من خلال تعطيل ميزة التشفير المتأثرة أو حظر إنشاء مقابس AF_ALG. كما يُنصح بفرض ضوابط وصول صارمة، وعزل الشبكة، وإعادة تدوير العقدة بسرعة بعد ظهور مؤشرات الاختراق.
