كشف باحثو الأمن السيبراني عن تفاصيل ثغرة أمنية في نواة لينكس، ظلت غير مكتشفة لمدة تسع سنوات. وتسمح هذه الثغرة، المسماة CVE-2026-46333، للمستخدمين المحليين غير المصرح لهم بالوصول إلى ملفات حساسة وتنفيذ أوامر وهمية بصلاحيات الجذر على توزيعات لينكس رئيسية.
تم اكتشاف الثغرة، التي تحمل الاسم الرمزي ssh-keysign-pwn، بواسطة شركة Qualys. وتكمن المشكلة في دالة __ptrace_may_access() في نواة لينكس، وقد تم إدخالها لأول مرة في نوفمبر 2016. وتعتبر هذه الثغرة تطورًا مقلقًا في مجال الأمن السيبراني، خاصة وأنها أثرت على العديد من توزيعات لينكس المعروفة.
ثغرة ssh-keysign-pwn تثير مخاوف حول نواة لينكس
تسمح ثغرة ssh-keysign-pwn، التي تم تقييمها بدرجة 5.5 على مقياس CVSS، للمهاجمين المحليين غير المصرح لهم بتعزيز امتيازاتهم. يمكنهم الوصول إلى ملفات حساسة مثل /etc/shadow، ومفاتيح SSH الخاصة الموجودة في /etc/ssh/*_key، وتنفيذ أوامر بصلاحيات الجذر. وقد تم تطوير أربعة استغلالات مختلفة تستهدف chage، وssh-keysign، وpkexec، وaccounts-daemon.
أفاد سعيد عباسي، مدير وحدة أبحاث التهديدات في Qualys، أن هذه الثغرة أداة موثوقة يمكنها تحويل أي شل محلي إلى وسيلة للوصول إلى صلاحيات الجذر أو مواد بيانات اعتماد حساسة. ويسلط هذا الضوء على المخاطر التي قد تنشأ في حال استغلال هذه الثغرة.
أصدرت Qualys تفاصيل الثغرة كدليل إثبات المفهوم (PoC) الأسبوع الماضي، بعد وقت قصير من ظهور تعهد عام خاص بالنواة. وتأتي CVE-2026-46333 في أعقاب الكشف عن ثغرات أخرى في نواة لينكس مثل Copy Fail وDirty Frag وFragnesia خلال الشهر الماضي.
وتشمل الآثار المباشرة للثغرة إمكانية تسريب بيانات حساسة، مما قد يؤدي إلى اختراقات أمنية واسعة النطاق. ومن الضروري أن يتخذ المستخدمون والمسؤولون عن الأنظمة إجراءات فورية لمعالجة هذه الثغرة.
التوصيات والإجراءات الوقائية
توصي Qualys بتطبيق آخر تحديثات النواة التي تصدرها توزيعات لينكس. وفي حال عدم القدرة على تطبيق التحديثات فورًا، يمكن اتخاذ إجراءات مؤقتة كرفع قيمة “kernel.yama.ptrace_scope” إلى 2. وهذه الإجراءات تهدف إلى الحد من نطاق استغلال الثغرة.
كما أشارت Qualys إلى أنه على الأنظمة التي سمحت للمستخدمين المحليين غير الموثوق بهم بالوصول خلال فترة التعرض، يجب اعتبار مفاتيح مضيف SSH وبيانات الاعتماد المخزنة محليًا قد تم الكشف عنها. لذا، يُنصح بتغيير مفاتيح المضيف ومراجعة أي مواد إدارية كانت موجودة في ذاكرة العمليات التي تعمل بصلاحيات SUID.
جاء هذا الكشف بالتزامن مع إصدار دليل إثبات المفهوم لثغرة أخرى تتعلق بتصعيد الامتيازات المحلية تُعرف باسم PinTheft. تتيح هذه الثغرة للمهاجمين المحليين الحصول على امتيازات الجذر على أنظمة Arch Linux، ولكنها تتطلب تحميل وحدة RDS (Reliable Datagram Sockets)، وتفعيل io_ring، ووجود ملف SUID-root قابل للقراءة، ودعم x86_64 للحمولة. وتوضح هذه التطورات الحاجة المستمرة لليقظة الأمنية.