هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

ثغرة KVM في لينكس تهدد بهروب الآلات الافتراضية

ملخص للمقال
  • ثغرة KVM في لينكس Januscape بالمعرف CVE-2026-53359 تهدد بهروب الآلات الافتراضية من الضيف إلى المضيف بعد خلل أمني ظل مخفياً قرابة 16 عاماً
  • تستهدف ثغرة KVM في لينكس مكوّن KVM Hypervisor داخل نواة Linux على معالجات Intel وAMD x86، ما يوسّع نطاق الخطر في البيئات الافتراضية الحديثة
  • التفاصيل التقنية تشير إلى خلل use-after-free داخل shadow MMU، حيث يعيد KVM استخدام صفحات تتبع الذاكرة اعتماداً على العنوان فقط دون التحقق من النوع
  • خطورة ثغرة Januscape تكمن في قدرة آلة افتراضية ضارة على تعطيل النظام المضيف بالكامل، وإسقاط جميع الآلات الافتراضية العاملة على الخادم نفسه
  • مقارنة بثغرات KVM السابقة، تتميز Januscape بأنها تضرب مكوّناً مشتركاً بين Intel وAMD، وترتبط بالافتراضية المتداخلة، ما يزيد القلق لدى السحابة ومراكز البيانات
  • التوقعات المستقبلية تشير إلى تسارع تحديثات Linux وKVM وتحذيرات لمشغلي السحابة، خاصة مع ادعاءات بإمكانية تطوير الثغرة لاحقاً إلى تنفيذ كود على المضيف
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
ثغرة KVM في لينكس تهدد بهروب الآلات الافتراضية
محتوى المقال
جاري التحميل...

ثغرة KVM في لينكس المعروفة باسم Januscape تتيح لآلة افتراضية ضارة استهداف النظام المضيف على معالجات Intel وAMD، بعد خلل بقي مخفياً لنحو 16 عاماً.

ما هي ثغرة KVM في لينكس Januscape؟

الثغرة تحمل المعرف CVE-2026-53359، وتضرب مكوّن KVM Hypervisor المسؤول عن تشغيل الآلات الافتراضية داخل نواة Linux. الخطورة هنا أنها تنطلق من داخل الضيف نفسه، ثم تعبث بحالة الذاكرة في النظام المضيف.

وبحسب المعلومات المتداولة، فإن الخلل من نوع use-after-free داخل shadow MMU، وهو جزء مشترك بين منصات Intel وAMD x86. هذا يعني أن نطاق التأثر واسع في البيئات التي تعتمد على الافتراضية المتداخلة.

لماذا تعد خطيرة؟

  • تسمح بتعطيل النظام المضيف بالكامل عبر VM ضارة
  • قد تؤدي إلى إسقاط جميع الآلات الافتراضية على الخادم نفسه
  • هناك ادعاءات بإمكانية تطويرها إلى تنفيذ كود على المضيف

كيف تعمل ثغرة Januscape عملياً؟

يعتمد KVM على جداول صفحات خاصة به لتتبع ذاكرة الضيف أثناء تشغيل الآلة الافتراضية. وعندما يحتاج صفحة تتبع جديدة، يحاول أحياناً إعادة استخدام صفحة موجودة مسبقاً لتقليل الكلفة.

المشكلة أن المطابقة كانت تتم عبر عنوان الذاكرة فقط، من دون التحقق من نوع صفحة التتبع نفسها. النتيجة أن النظام قد يعيد استخدام صفحة تؤدي وظيفة مختلفة تماماً، ما يربك سجلات KVM الداخلية.

ما الذي يحدث بعد ذلك؟

  • في السيناريو الشائع: تكتشف النواة الفوضى وتتوقف لحماية نفسها
  • في السيناريو الأخطر: تُعاد الصفحة المحررة لاستخدام آخر قبل التنظيف
  • عندها قد تكتب النواة في موقع ذاكرة لم تعد تملكه

هذا المسار لا يمنح المهاجم تحكماً كاملاً مباشرة، لكنه يوفّر موطئ قدم يمكن استغلاله لاحقاً. وهنا تظهر القيمة الأمنية الكبيرة لهذه الثغرة بالنسبة لمشغلي السحابة ومقدمي الاستضافة.

من المتأثر بثغرة KVM في لينكس؟

الخلل موجود منذ أغسطس 2010 تقريباً، أي منذ أيام kernel 2.6.36، قبل أن تتم معالجته في التحديث الرئيسي المدمج يوم 19 يونيو 2026. وهذا يفسر لماذا يصفه البعض بأنه من أخطر أخطاء KVM المكتشفة في السنوات الأخيرة.

الاستغلال يحتاج عادة إلى شرطين من جهة الضيف، وهما صلاحيات root داخل الآلة الافتراضية، وتفعيل nested virtualization من جهة المضيف. ووفقاً لقراءة تيكبامين، فهذا يجعل الخطر أعلى في بيئات الاختبار، وبعض الخوادم السحابية، ومنصات الأمن البحثي.

أبرز نقاط التأثر

  • الأنظمة المعتمدة على Linux KVM
  • معالجات Intel وAMD x86
  • البيئات التي تتيح افتراضية متداخلة للمستخدمين

ماذا يجب على مسؤولي الأنظمة فعله الآن؟

الخطوة الأولى هي مراجعة إصدار النواة والتأكد من وصول الإصلاح الأمني الأخير. كما يُنصح بتقييد nested virtualization عندما لا تكون هناك حاجة فعلية لها، لأن ذلك يقلل سطح الهجوم بشكل مباشر.

ومن المهم أيضاً مراقبة أي حالات kernel panic غير مفسرة داخل خوادم الافتراضية. في النهاية، تؤكد ثغرة KVM في لينكس أن أخطاء قديمة داخل البنية التحتية يمكن أن تتحول فجأة إلى تهديد حديث، وهو ما يستحق انتباهاً سريعاً من فرق الأمن، كما يوضح تيكبامين.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

الكلمات المفتاحية:

#لينكس #KVM

مقالات مقترحة

محتوى المقال
جاري التحميل...