أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) مؤخراً ثغرة أمنية تؤثر على توزيعات لينكس، وذلك بعد اكتشاف استغلالها بشكل نشط في العالم الواقعي. هذه الخطوة تأتي في إطار جهود الوكالة المستمرة لتعزيز الأمن السيبراني وحماية الأنظمة الحيوية.
تُعرف هذه الثغرة باسم CVE-2026-31431، وتسمح لمستخدم محلي عادي بالحصول على صلاحيات الجذر (root). وقد تم إصدار تصحيحات لهذه الثغرة في إصدارات نواة لينكس 6.18.22، و 6.19.12، و 7.0، مما يضع على عاتق مسؤولي الأنظمة مسؤولية تطبيق هذه التحديثات.
ثغرة “Copy Fail” في نواة لينكس تستدعي تحديثات عاجلة
تُشكل ثغرة “Copy Fail” المكتشفة حديثاً في نواة لينكس تهديداً أمنياً خطيراً، حيث تسمح لمستخدم محلي بصلاحيات محدودة بتصعيد امتيازاته إلى مستوى المستخدم الجذر. يأتي هذا الاكتشاف ليؤكد على الدور المحوري للتحديثات الأمنية المنتظمة في سد الثغرات المحتملة.
وعلى الرغم من قدم الثغرة التي تعود إلى عام 2011، إلا أن طريقة استغلالها البسيطة والمعقدة في آن واحد تجعلها تحدياً كبيراً. وتشير تقارير إلى أن الثغرة نتجت عن مزيج من ثلاث تغييرات منفصلة وغير مؤذية ظاهرياً في نواة لينكس على مر السنوات.
آلية عمل الثغرة وتأثيرها
تعمل ثغرة “Copy Fail” من خلال استغلال خلل منطقي في آلية المصادقة التشفيرية داخل نواة لينكس. يسمح هذا الخلل للمهاجم بتعديل ذاكرة التخزين المؤقت للصفحات (page cache) لأي ملف قابل للقراءة، بما في ذلك الملفات التنفيذية ذات صلاحيات الجذر. ومع ذلك، فإن التأثير المباشر للثغرة يقتصر على المستخدمين المحليين.
يُعد هذا الأمر خطيراً بشكل خاص في بيئات الحوسبة السحابية ومساحات العمل الافتراضية (containers)، حيث تمنح العديد من هذه التقنيات، مثل Docker وKubernetes، وصولاً واسعاً للعمليات داخل الحاوية. هذا يمكن أن يؤدي إلى خرق العزل بين الحاويات والسيطرة على الجهاز المضيف.
إضافة إلى ذلك، فإن سهولة استغلال الثغرة وعدم حاجتها لتقنيات معقدة مثل التخمين أو ظروف السباق (race conditions) تقلل من حاجز الدخول للمهاجمين المحتملين. وهذا يعني أن أي مستخدم غير مصرح له على نظام لينكس ضعيف يمكنه محاولة استغلال الثغرة.
ويزداد الأمر إلحاحاً مع توفر أدوات استغلال جاهزة، حيث تم رصد نسخ بلغتي Go و Rust من الاستغلال الأصلي، مما يسهل على الجهات الخبيثة استخدامه.
التوصيات والإجراءات الوقائية
أصدرت وكالة CISA توجيهاً للمؤسسات الحكومية الفيدرالية بتطبيق الإصلاحات اللازمة قبل 15 مايو 2026، نظراً لتوافر تحديثات من قبل توزيعات لينكس المتأثرة. في حال عدم إمكانية تطبيق التحديثات فوراً، يُنصح بتعطيل الميزة المتأثرة، وتنفيذ العزل الشبكي، وتطبيق ضوابط وصول صارمة.
من جانبها، أكدت مايكروسوفت أن لديها أدلة على اختبارات أولية لهذه الثغرة، مع توقعات بزيادة نشاط الاستغلال من قبل الجهات التهديدية في الأيام القادمة. وأشارت إلى أن الثغرة ليست قابلة للاستغلال عن بعد بشكل مباشر، ولكنها تصبح ذات تأثير كبير عند دمجها مع وسائل اختراق أولية أخرى، مثل الوصول عبر SSH أو تنفيذ مهام CI ضارة.
يُعد الاستغلال المحلي والمباشر للثغرة خطوة أولى يمكن أن تؤدي إلى الحصول على صلاحيات الجذر الكاملة، مما يفتح الباب أمام المهاجم للسيطرة الكاملة على النظام. وتتضمن إحدى طرق الاستغلال المحتملة تحديد نظام لينكس أو حاوية يعاني من الثغرة، ثم تنفيذ استغلال بسيط لتعديل ذاكرة نواة لينكس، مما يؤدي إلى تصعيد الصلاحيات.