ثغرة Copy Fail في نواة لينكس CVE-2026-31431: سكربت من 732 بايت يمنح صلاحيات الجذر على كل خادم منذ 2017

ثغرة واحدة في الوحدة المشفّرة algif_aead بنواة لينكس تكفي لتحويل أي حساب محلّي محدود الصلاحيات إلى حساب root كامل خلال ثوانٍ — وسكربت Python لا يتجاوز 732 بايت هو كل ما يحتاجه المهاجم. هذه ليست ثغرة نظرية: أضافتها CISA إلى كتالوج الثغرات المستغلّة فعلياً (KEV) في الأول من مايو 2026، ومزوّدو السحابة الكبار أصدروا نشرات طوارئ متزامنة.

ما هي ثغرة Copy Fail وكيف تعمل؟

اكتشف باحثون من Xint وTheori خللاً منطقياً في وحدة algif_aead ضمن واجهة التشفير AF_ALG في نواة لينكس. المشكلة تكمن في معالجة غير سليمة للذاكرة أثناء عمليات التشفير الموضعية (in-place operations)، مما يسمح للمهاجم بتنفيذ كتابة مُتحكَّم بها بحجم 4 بايت مباشرة في ذاكرة التخزين المؤقت للصفحات (page cache) لأي ملف قابل للقراءة على النظام. عملياً، يستطيع المهاجم تعديل ملف ثنائي يحمل صلاحية setuid في الذاكرة دون تغيير الملف الفعلي على القرص، ثم تنفيذه للحصول على صلاحيات الجذر الكاملة.

نطاق التأثير: كل توزيعة لينكس منذ 2017

الوحدة المصابة algif_aead مُفعّلة افتراضياً في كل نواة لينكس تقريباً منذ عام 2017. يشمل ذلك Ubuntu 24.04 LTS وRHEL 10.1 وAmazon Linux 2023 وSUSE 16 وCloudLinux. الأثر يمتد إلى ملايين عقد Kubernetes وحاويات Docker في البيئات السحابية المتعددة المستأجرين، حيث يمكن للاستغلال الناجح أن يُمكّن من الهروب من الحاوية (container breakout) والتحرك الجانبي بين بيئات مختلفة تابعة لعملاء مختلفين. أصدرت Microsoft نشرة لـ Azure Kubernetes Service، وOVHcloud لخدمة Managed Kubernetes، وAmazon لـ AL2023، وجميعها تُوصي بتحديث عاجل لعقد العمال وتدوير أي بيانات اعتماد قد تكون تعرّضت للخطر.

سهولة الاستغلال المرعبة: 732 بايت فقط

ما يجعل هذه الثغرة استثنائية الخطورة هو بساطة استغلالها. أثبت الباحثون أن سكربت Python بحجم 732 بايت فقط يكفي للحصول على صلاحية root على أي توزيعة لينكس مصابة. لا يحتاج المهاجم إلى صلاحيات مسبقة سوى حساب محلّي عادي — وهو ما يتوفر عادةً في بيئات الاستضافة المشتركة وخوادم التطبيقات وعقد Kubernetes. كود الاستغلال (PoC) متاح علنياً منذ أواخر أبريل 2026، ورصدت Sophos وSafeBreach محاولات استغلال نشطة في بيئات إنتاجية فعلية.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد البنوك وشركات التأمين وشركات التقنية المالية في المملكة اعتماداً كبيراً على خوادم لينكس في البنية التحتية الحرجة: قواعد البيانات، خوادم التطبيقات المصرفية، بوابات الدفع الإلكتروني، ومنصات الخدمات المصرفية الرقمية. ثغرة بهذه السهولة في الاستغلال تُشكّل تهديداً مباشراً لعدة متطلبات تنظيمية. على صعيد SAMA CSCC، تنتهك الضوابط المتعلقة بإدارة الثغرات (Vulnerability Management) وإدارة التصحيحات (Patch Management) والتحكم في الوصول المميّز (Privileged Access Management). أما NCA ECC فتُلزم المؤسسات بتطبيق تصحيحات الثغرات الحرجة خلال إطار زمني محدد، والتأخر في ترقيع هذه الثغرة يُعدّ مخالفة صريحة. كذلك من منظور PCI-DSS v4.0، يُعتبر أي خادم يعالج بيانات حاملي البطاقات ويعمل بنواة لينكس غير مُرقّعة خارج نطاق الامتثال فوراً.

التوصيات والخطوات العملية

1. ترقيع فوري: حدّث نواة لينكس على جميع الخوادم والحاويات والعقد السحابية إلى أحدث إصدار مُصحّح من توزيعتك. أعطِ الأولوية القصوى للخوادم التي تعالج بيانات مالية أو بيانات عملاء.
2. تعطيل الوحدة المصابة مؤقتاً: إذا تعذّر الترقيع الفوري، عطّل وحدة algif_aead عبر modprobe كإجراء مؤقت: أضف install algif_aead /bin/true إلى ملف في /etc/modprobe.d/.
3. مسح شامل للبيئة: استخدم أدوات مثل Qualys أو Tenable لتحديد جميع الأنظمة المصابة في بيئتك، بما في ذلك الحاويات وصور Docker الأساسية.
4. مراجعة سجلات الوصول: ابحث عن أي نشاط مشبوه يتضمن تصعيد صلاحيات غير مبرر أو تحميل وحدة algif_aead في سجلات النظام منذ أواخر أبريل 2026.
5. تدوير بيانات الاعتماد: دوّر جميع كلمات المرور ومفاتيح SSH وشهادات TLS على أي خادم يُشتبه بتعرّضه للاختراق.
6. تحديث سياسات Kubernetes: طبّق Pod Security Standards بمستوى restricted وامنع تشغيل الحاويات بصلاحية root افتراضياً.

الخلاصة

ثغرة Copy Fail تُذكّرنا بأن الخلل الأمني الأخطر ليس بالضرورة الأكثر تعقيداً — أحياناً يكون سكربت من بضع مئات البايتات كافياً لاختراق بنية تحتية كاملة. المؤسسات المالية السعودية التي تعتمد على لينكس في أنظمتها الحرجة أمام ضرورة ملحّة للتحرك قبل أن يستغل المهاجمون هذه الثغرة المنتشرة والسهلة الاستخدام. الترقيع الفوري ليس خياراً بل التزام تنظيمي وفق SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لثغرات البنية التحتية.