تم مؤخراً إصدار كود استغلال إثبات المفهوم (Proof-of-Concept – PoC) لثغرة أمنية تم تصحيحها حديثاً في نواة لينكس، والتي يمكن أن تسمح بتصعيد الامتيازات المحلية.
تم اكتشاف الثغرة، المعروفة باسم DirtyDecrypt (أو DirtyCBC)، والإبلاغ عنها من قبل فريق Zellic و V12 للأمن في 9 مايو 2026. وعند الإبلاغ، أبلغ عنها الفريق لمديري النظام بأنها نسخة مكررة من ثغرة تم بالفعل تصحيحها.
DirtyDecrypt: ثغرة تصعيد الامتيازات في نواة لينكس
ووفقاً لوصف شاركه المؤسس المشارك في Zellic، لونا تونج، فإن الخلل يكمن في آلية “rxgk pagecache write” بسبب غياب حماية “نسخ عند الكتابة” (Copy-On-Write – COW) في دالة “rxgk_decrypt_skb”.
وعلى الرغم من عدم الكشف عن معرف CVE بشكل رسمي، إلا أن الثغرة المعنية هي CVE-2026-31635 (بدرجة CVSS 7.5)، بناءً على ربط قاعدة بيانات NVD لكود PoC الخاص بـ DirtyDecrypt بسجل CVE الخاص بها.
تكمن المشكلة تحديداً في دالة “rxgk_decrypt_skb()”، وهي المسؤولة عن فك تشفير حزم الشبكة الواردة. وفي هذا المسار، تتعامل النواة مع صفحات الذاكرة التي تتم مشاركتها جزئياً مع ذاكرة التخزين المؤقت لعمليات أخرى.
عادةً ما تتم حماية هذه المشاركة عبر آلية “نسخ عند الكتابة”، حيث عند حدوث أي تعديل على صفحة مشتركة، يتم إنشاء نسخة خاصة قبل التعديل لتجنب تأثيره على بيانات العمليات الأخرى.ويؤدي غياب هذه الحماية في “rxgk_decrypt_skb” إلى كتابة البيانات إلى ذاكرة العمليات ذات الامتيازات العالية، أو إلى ذاكرة التخزين المؤقت لملفات ذات امتيازات، مثل ملفات الإعدادات الحساسة، مما يتيح تصعيد الامتيازات المحلية.
تؤثر ثغرة DirtyDecrypt فقط على التوزيعات التي تم تمكين خيار CONFIG_RXGK فيها، مثل Fedora و Arch Linux و openSUSE Tumbleweed. وفي البيئات التي تعتمد على الحاويات، يمكن أن توفر العقد العاملة التي تشغل إصداراً ضعيفاً من لينكس مساراً للهروب من المنصة (pod escape).
وتُصنف هذه الثغرة، وفقاً لـ Zellic، كمتغير من ثغرات سابقة مثل Copy Fail (CVE-2026-31431)، و Dirty Frag أو Copy Fail 2 (CVE-2026-43284 و CVE-2026-43500)، و Fragnesia (CVE-2026-46300)، وكلها تتيح الوصول كمدير نظام (root) على الأنظمة الضعيفة.
تداعيات الثغرات الأمنية المتلاحقة
يأتي هذا التطور بالتزامن مع اكتشاف ثغرة أخرى لتصعيد الامتيازات في ديمون Linux PackageKit (CVE-2026-41651، المعروفة بـ Pack2TheRoot، بدرجة CVSS 8.8)، وثغرة في إدارة الامتيازات غير السليمة في النواة (CVE-2026-46333، المعروفة بـ ssh-keysign-pwn، بدرجة CVSS 5.5)، والتي تسمح لمستخدم محلي غير مميز بقراءة أسرار مملوكة للمدير مثل مفاتيح SSH الخاصة.
أصدرت العديد من توزيعات لينكس إشعارات أمنية بخصوص CVE-2026-46333.
مقترح “زر الإيقاف” لنواة لينكس
دفعت سلسلة الإفصاحات عن الثغرات الأمنية الجديدة خلال أسابيع قليلة مطوري نواة لينكس إلى مراجعة مقترح لـ “زر إيقاف” طارئ (killswitch)، يسمح للمسؤولين بتعطيل وظائف نواة معينة وقت التشغيل، وذلك كإجراء مؤقت حتى يتوفر تصحيح أمني كامل للثغرة.
وفقاً للمقترح، الذي قدمه مطور نواة لينكس ساشا ليفين، يتيح “زر الإيقاف” للمسؤولين جعل أي وظيفة مختارة في النواة تعيد قيمة ثابتة دون تنفيذ جسمها، كحل لتخفيف مخاطر ثغرة أمنية بينما يجري العمل على إصلاح دائم.
مستودع الأمان الخاص بـ Rocky Linux
من جانبها، قدمت توزيعة Rocky Linux مستودع أمان اختياري، يتيح للتوزيعة إصدار تحديثات أمنية عاجلة بسرعة، خاصة في الحالات التي تصبح فيها الثغرات الخطيرة معروفة للعلن قبل وصول التصحيحات الرسمية.
وأوضح القائمون على Rocky Linux أن هذا المستودع غير مفعل افتراضياً، للحفاظ على تجربة المستخدم العادية. ومع ذلك، يمكن للمسؤولين تفعيله للحصول على الإصلاحات المعجلة عند الحاجة.
يستهدف هذا المستودع حالات محددة ونادرة، حيث تكون الثغرة الأمنية كبيرة، وهناك كود استغلال لها، ولا تتوفر تصحيحات رسمية بعد. وأكدت Rocky Linux أن هذا المستودع ليس بديلاً لعملية الإصدارات العادية.