ثغرة DirtyDecrypt تهدد أنظمة لينكس: خطر تصعيد الصلاحيات

تم إطلاق كود استغلال لثغرة DirtyDecrypt الأمنية في نواة لينكس، والتي تسمح للمهاجمين بتصعيد الصلاحيات محلياً والسيطرة على النظام بالكامل وفق تقرير تيكبامين.

كشف خبراء الأمن الرقمي عن إطلاق كود برمجي تجريبي (PoC) لاستغلال ثغرة أمنية خطيرة تم إصلاحها مؤخراً في نواة لينكس (Linux Kernel). هذه الثغرة، التي أُطلق عليها اسم DirtyDecrypt أو DirtyCBC، تمنح المهاجمين القدرة على تنفيذ هجمات تصعيد الصلاحيات المحلية (LPE)، مما يعني إمكانية تحويل مستخدم عادي إلى مستخدم بصلاحيات "جذر" (Root) كاملة.

تم اكتشاف الثغرة والإبلاغ عنها من قبل فريقي الأمن Zellic وV12 في أوائل شهر مايو 2026. ورغم أن مطوري النواة أشاروا إلى أنها تكرار لخلل تم إصلاحه سابقاً في النسخة الرئيسية، إلا أن الكشف عن كود الاستغلال يضع الأنظمة التي لم تقم بالتحديث بعد في خطر مباشر.

ما هي ثغرة DirtyDecrypt وكيف تؤثر على نظام لينكس؟

تحمل الثغرة المعرف العالمي CVE-2026-31635 وقد حصلت على تقييم خطورة يصل إلى 7.5 درجة وفقاً لنظام تقييم الثغرات العالمي (CVSS). تكمن المشكلة الأساسية في وظيفة معينة داخل النواة تتعلق بفك تشفير البيانات المستقبلة عبر الشبكة.

التفاصيل التقنية للثغرة:

• الموقع: الخلل موجود في وظيفة rxgk_decrypt_skb المسؤولة عن فك تشفير مخزن مؤقت للمنافذ (socket buffer).
• السبب: غياب آلية حماية تُعرف باسم Copy-On-Write (COW)، وهي ميزة أمان تمنع الكتابة فوق صفحات الذاكرة المشتركة بين العمليات.
• النتيجة: بسبب هذا النقص، يمكن كتابة البيانات مباشرة في ذاكرة العمليات ذات الامتيازات العالية أو في ملفات النظام الحساسة.

وفقاً لما ذكره خبراء في تيكبامين، فإن هذا الخلل يسمح بتسريب البيانات المكتوبة إلى ملفات حاسمة في النظام، وهو ما يفتح الباب أمام اختراق أمني واسع النطاق.

ما هي توزيعات لينكس المعرضة لخطر الاختراق؟

لا تتأثر جميع أنظمة لينكس بهذه الثغرة، بل يقتصر التأثير على التوزيعات التي تستخدم إعدادات محددة في النواة. تشمل قائمة التوزيعات الأكثر عرضة للخطر ما يلي:

• فيدورا (Fedora)
• آرتش لينكس (Arch Linux)
• أوبن سوزي (openSUSE Tumbleweed)

تتأثر هذه التوزيعات فقط إذا كان خيار CONFIG_RXGK مفعلاً في إعدادات النواة. كما حذر الباحثون من خطر خاص في بيئات الحاويات (Containers)؛ حيث يمكن للمهاجم استغلال الثغرة للهروب من الحاوية والوصول إلى نظام التشغيل المضيف (Host OS)، مما يهدد كامل البنية التحتية للخوادم.

كيف تهدد الثغرة ملفات النظام الحساسة؟

يؤدي غياب حماية COW إلى إمكانية تعديل ملفات لا ينبغي للمستخدم العادي الوصول إليها. ومن أبرز الملفات التي قد يستهدفها المهاجمون باستخدام DirtyDecrypt:

• ملف etc/shadow/ الذي يحتوي على كلمات مرور المستخدمين المشفرة.
• ملف etc/sudoers/ المسؤول عن تحديد صلاحيات المسؤولين.
• الملفات التنفيذية من نوع SUID التي تعمل بصلاحيات الجذر.

DirtyDecrypt وسلسلة ثغرات "Dirty" الشهيرة

تعتبر هذه الثغرة جزءاً من سلسلة أوسع من نقاط الضعف التي تم اكتشافها مؤخراً، والتي تشترك جميعها في هدف واحد وهو منح صلاحيات الروت. يرى المحللون أن DirtyDecrypt هي البديل المطور لثغرات سابقة مثل:

• Copy Fail (CVE-2026-31431): خلل في واجهة التشفير تم الكشف عنه في أبريل 2026.
• Dirty Frag: تطور لثغرة Copy Fail يسمح بالكتابة في ذاكرة التخزين المؤقت للصفحات.
• Fragnesia: ثغرة أخرى تمنح وصولاً كاملاً للنظام.

في الختام، يشدد خبراء تيكبامين على ضرورة قيام مديري الأنظمة والمستخدمين بتحديث أنوية لينكس لديهم إلى آخر إصدار متاح فوراً، والتأكد من تطبيق الرقع الأمنية الصادرة من مطوري التوزيعات لسد هذه الفجوة الخطيرة قبل استغلالها من قبل القراصنة.