ثغرة pedit COW في لينكس تمنح صلاحيات الجذر

ثغرة pedit COW في لينكس تفتح باب الوصول إلى صلاحيات الجذر عبر تسميم النسخ المخبأة من الملفات التنفيذية، ما يهدد الخوادم والأنظمة المشتركة.

ما هي ثغرة pedit COW في لينكس؟

تكشف الثغرة الأمنية الجديدة، المسجلة تحت CVE-2026-46331، عن خلل خطير في نواة لينكس داخل مكوّن التحكم بحركة الشبكة traffic control. ويتيح هذا الخلل لمستخدم محلي بلا امتيازات إدارية تصعيد الصلاحيات والوصول إلى حساب الجذر.

اللافت هنا أن الاستغلال لا يعبث بالملف التنفيذي على القرص مباشرة، بل يهاجم النسخة المحفوظة في الذاكرة المؤقتة Page Cache. وبهذا يمكن تشغيل ملف مثل /bin/su بعد حقنه بحمولة خبيثة، بينما تبقى فحوصات سلامة الملفات سليمة ظاهرياً.

لماذا تبدو الثغرة مقلقة؟

• تمنح وصولاً سريعاً إلى صلاحيات root.
• لا تترك أثراً واضحاً على الملف الأصلي المخزن على القرص.
• يمكن استغلالها محلياً في بيئات متعددة المستخدمين.

كيف تعمل ثغرة pedit COW عملياً؟

تعتمد الأداة tc في لينكس على إجراء يسمى pedit لتعديل ترويسات الحزم أثناء مرورها. المفترض أن تنشئ النواة نسخة خاصة من البيانات قبل أي تعديل، لكن الخلل يحدث عندما يتم التحقق من نطاق الكتابة قبل تحديد الإزاحة النهائية لبعض المفاتيح.

نتيجة لذلك، قد تتم الكتابة خارج المنطقة الخاصة المنسوخة، فتقع التعديلات على صفحة مشتركة داخل الذاكرة المؤقتة بدلاً من نسخة معزولة. وإذا كانت هذه الصفحة تخص ملفاً تنفيذياً مخزناً مؤقتاً، تصبح صورته في الذاكرة فاسدة وقابلة للاستغلال.

وفقاً لقراءة تيكبامين، يشبه هذا النمط ثغرات سابقة استهدفت Page Cache، لكن الجديد هنا أن نقطة الدخول تأتي من مساحة مستخدم غير مميّز يستطيع الحصول على CAP_NET_ADMIN داخل user namespace.

ما الأنظمة المتأثرة بثغرة pedit COW؟

التجارب المنشورة أظهرت نجاح الاستغلال على RHEL 10 وDebian 13، لأن مساحات المستخدم غير المميّزة مفعلة افتراضياً هناك. وهذا يمنح المهاجم البيئة اللازمة لتفعيل سلاسل الاستغلال.

أما Ubuntu 24.04 فاحتاج إلى مسار تنفيذ يمر عبر ملفات AppArmor تسمح بإنشاء user namespaces. في المقابل، يحد Ubuntu 26.04 من هذا المسار افتراضياً، ما يقلل خطر الاستغلال العملي رغم بقاء الخلل الأساسي في النواة.

الشروط المطلوبة لنجاح الهجوم

• إمكانية تحميل act_pedit أو استخدامه على النظام.
• تفعيل unprivileged user namespaces.
• وجود مستخدم محلي يمكنه الوصول إلى البيئة المتأثرة.

كيف تحمي أنظمة لينكس من ثغرة pedit COW؟

الحل الأساسي هو تثبيت تحديثات النواة الأمنية ثم إعادة تشغيل الجهاز، لأن بقاء النظام على نواة قديمة يعني استمرار قابلية الاستغلال. ويجب إعطاء أولوية قصوى للخوادم المشتركة، وعُقد Kubernetes، وأنظمة CI/CD، وأجهزة المختبرات أو البحث متعددة المستخدمين.

إذا تعذر التحديث فوراً، يمكن تعطيل مسار الاستغلال عبر منع user namespaces غير الموثوقة أو إيقاف قواعد tc pedit في الأنظمة التي لا تحتاجها. كما يُنصح بمراجعة إعدادات AppArmor والسياسات المحلية لتقليل فرص حصول المستخدمين العاديين على قدرات شبكية داخلية.

في النهاية، تؤكد ثغرة pedit COW أن أي خلل في Page Cache داخل لينكس قد يتحول سريعاً إلى هجوم تصعيد صلاحيات بالغ الخطورة، ولهذا تنصح تيكبامين بالتعامل معها كتحديث أمني عاجل لا يحتمل التأجيل.