كشفت تفاصيل جديدة عن ثغرة أمنية خطيرة في نواة نظام لينكس، تتيح للمهاجمين المحليين الحصول على صلاحيات الجذر (root). تأتي هذه الثغرة، التي تحمل الاسم الرمزي “Fragnesia”، لتضاف إلى سجل الثغرات الأخيرة التي استهدفت النظام، مما يثير قلق مستخدمي توزيعات لينكس حول العالم.
يُعرف البحث الأمني ثغرة “Fragnesia” بالرمز CVE-2026-46300، وهي تكمن في نظام XFRM ESP-in-TCP داخل نواة لينكس. اكتشف الثغرة باحث أمني يدعى ويليام بولينغ من فريق V12 للأمن، وتشير تقارير إلى أنها تسمح بتعديل ملفات المحفوظة للقراءة فقط في ذاكرة التخزين المؤقت للنواة، مما يؤدي في النهاية إلى منح المهاجم صلاحيات الجذر.
ثغرة Fragnesia: تفاصيل وأبعاد
تعتبر ثغرة Fragnesia مماثلة لثغرات أخرى مثل “Copy Fail” و”Dirty Frag”، حيث تتيح إمكانية الوصول إلى صلاحيات الجذر في معظم توزيعات لينكس الرئيسية. يعتمد استغلالها على خلل منطقي في نظام XFRM ESP-in-TCP، يمكّن المهاجم من الكتابة على أي بايت في ذاكرة التخزين المؤقت للنواة لملفات القراءة فقط، وذلك دون الحاجة إلى وجود ظروف سباق (race condition).
وقد أصدرت العديد من شركات توزيع لينكس إشعارات وتحذيرات بخصوص هذه الثغرة.
التأثير والإجراءات الوقائية
تؤكد شركات مثل CloudLinux وRed Hat على أهمية تطبيق التحديثات اللازمة. فبحسب CloudLinux، فإن العملاء الذين طبقوا بالفعل الإجراءات الوقائية لثغرة “Dirty Frag” لا يحتاجون إلى اتخاذ أي خطوات إضافية حتى يتم إصدار نواة محدثة. أما Red Hat، فقد أفادت بأنها تجري تقييماً لتحديد ما إذا كانت التخفيفات الحالية تشمل CVE-2026-46300.
من جهة أخرى، أشارت شركة Wiz إلى أن قيود AppArmor على مساحات أسماء المستخدم غير المميزة قد توفر تخفيفًا جزئيًا، لكنها قد تتطلب تجاوزات إضافية لنجاح الاستغلال. على عكس ثغرة Dirty Frag، لا تتطلب ثغرة Fragnesia امتلاك صلاحيات على مستوى النظام.
أصدرت Microsoft تحذيراً مشابهًا، مؤكدةً على توفر تصحيح لهذه الثغرة. وحثت المستخدمين والمؤسسات على تطبيق التحديث فورًا باستخدام أدوات التحديث المعتادة. وفي حال عدم إمكانية التطبيق الفوري، أوصت بتطبيق نفس الإجراءات الوقائية الخاصة بثغرة Dirty Frag.
تشمل هذه الإجراءات تعطيل وظائف IPsec ذات الصلة، وتقييد الوصول غير الضروري إلى واجهة الأوامر المحلية، وتعزيز أمان الحاويات، وزيادة مراقبة نشاط تصعيد الصلاحيات غير الطبيعي.
سياق أمني متزايد
يأتي اكتشاف ثغرة Fragnesia في وقت يلاحظ فيه نشاط متزايد في استغلال الثغرات الأمنية. فقد تم رصد جهة تهديدية تدعى “berz0k” تعلن عبر منتديات الإنترنت المظلم عن ثغرة “صفرية اليوم” (zero-day) لتصعيد الصلاحيات المحلية في لينكس، معلنةً أنها تعمل على توزيعات لينكس رئيسية متعددة، وتطلب مقابلها 170,000 دولار.
وفقًا لـ ThreatMon، تدعي هذه الجهة التهديدية أن الثغرة تعتمد على نمط “الوقت الضمني للاستخدام” (TOCTOU)، وتوفر تصعيدًا مستقرًا للصلاحيات المحلية دون التسبب في انهيار النظام، وتستغل ملفات مشتركة (.so) يتم إلقاؤها في مجلد /tmp.