تحذير من ثغرة لينكس Copy Fail: رووت كامل للمخترقين

أضافت وكالة CISA ثغرة لينكس الخطيرة CVE-2026-31431 إلى قائمة التهديدات النشطة، حيث تمنح المهاجمين صلاحيات الرووت الكاملة عبر خلل Copy Fail البرمجي.

ما هي ثغرة Copy Fail وكيف تهدد أنظمة لينكس؟

حذرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) من ثغرة أمنية تم اكتشافها حديثاً تؤثر على توزيعات لينكس المختلفة، مشيرة إلى وجود أدلة على استغلالها الفعلي في الهجمات السيبرانية.

الثغرة التي تحمل الرمز CVE-2026-31431، والمعروفة باسم "Copy Fail"، تندرج تحت فئة تصعيد الصلاحيات المحلية (LPE). وبحسب متابعة تيكبامين، فإن هذا الخلل يسمح لمستخدم محلي لا يملك صلاحيات كافية بالحصول على وصول كامل كمسؤول للنظام أو ما يعرف بصلاحيات "الرووت" (root).

من المثير للقلق أن هذا الخلل البرمجي يعود إلى 9 سنوات مضت، وقد تم الكشف عنه بواسطة باحثين من فريقي Theori وXint. وقد أكدت التقارير التقنية أن الثغرة ناتجة عن منطق برمجي خاطئ في قالب التشفير الخاص بنواة لينكس.

كيف تمنح ثغرة لينكس الجديدة صلاحيات الرووت للمخترقين؟

وفقاً لتقرير تيكبامين، فإن ثغرة Copy Fail هي نتيجة لخطأ منطقي في نموذج توثيق التشفير داخل النواة، مما يسمح للمهاجم بتحفيز تصعيد الصلاحيات بشكل موثوق وبسيط للغاية باستخدام نص برمجي (exploit) يعتمد على لغة بايثون لا يتجاوز حجمه 732 بايت.

تكمن خطورة الثغرة في قدرتها على السماح للمستخدم غير المصرح له بالوصول إلى مستوى الرووت من خلال تخريب ذاكرة التخزين المؤقت للصفحات (page cache) في النواة لأي ملف قابل للقراءة، بما في ذلك ملفات النظام الحساسة.

توضح الأبحاث الأمنية الآتي:

• تعديل ذاكرة التخزين المؤقت يغير الملفات التنفيذية أثناء تشغيلها دون لمس القرص الصلب.
• يمكن للمهاجمين حقن كود برمج في ملفات برمجية مميزة (مثل /usr/bin/su).
• يؤدي هذا الإجراء إلى تنفيذ الأوامر بصلاحيات المسؤول الكاملة فوراً.

مخاطر الثغرة على الحاويات والبيئات السحابية

نظراً للانتشار الواسع لنظام لينكس في البيئات السحابية، فإن تأثير هذه الثغرة يعد كبيراً جداً. وتشير التحليلات إلى أن Copy Fail تشكل خطراً حقيقياً على بيئات الحاويات مثل Docker وLXC وKubernetes.

تسمح الثغرة باختراق عزل الحاويات والسيطرة على الجهاز المادي المضيف، ولا يتطلب استغلالها تقنيات معقدة أو تخمين عناوين الذاكرة، مما يخفض حاجز الدخول للمهاجمين المحتملين.

ما هي توزيعات لينكس المتأثرة وكيفية الحماية؟

تؤثر هذه الثغرة الأمنية عالية الخطورة على معظم توزيعات لينكس التي تم شحنها منذ عام 2017. ويعتبر اكتشاف الهجوم أمراً صعباً لأنه يستخدم نداءات نظام مشروعة تماماً، مما يجعله يتخفى عن العديد من برامج الحماية التقليدية.

لحماية أنظمتك، يجب التحديث فوراً إلى إصدارات نواة لينكس (Kernel) الآمنة التي تم إطلاقها مؤخراً:

• إصدار لينكس كيرنل 6.18.22 أو أحدث.
• إصدار لينكس كيرنل 6.19.12 أو أحدث.
• إصدار لينكس كيرنل 7.0 وما فوق.

تنصح تيكبامين جميع مديري الأنظمة والمستخدمين بضرورة فحص إصدار النواة الحالي وتطبيق التصحيحات الأمنية اللازمة فوراً لتجنب مخاطر تصعيد الصلاحيات غير المصرح بها.