Copy Fail (CVE-2026-31431): ثغرة كيرنل لينكس تهدد بنوك SAMA

كشف باحثو شركة Xint بالتعاون مع Wiz عن ثغرة منطقية عمرها تسع سنوات في كيرنل لينكس باسم Copy Fail ورقم CVE-2026-31431، تتيح لأي مستخدم محلي غير مميز الحصول على صلاحيات root عبر سكربت بايثون لا يتجاوز 732 بايت. الثغرة بدرجة CVSS 7.8 تطال كل توزيعات لينكس الصادرة منذ 2017، وتمتد آثارها لتصبح أداة هروب من حاويات Docker وKubernetes — مما يضع البنية التحتية للبنوك الخاضعة لرقابة البنك المركزي السعودي SAMA في مرمى مباشر.

تشريح ثغرة Copy Fail في وحدة algif_aead

الثغرة موجودة في وحدة algif_aead المسؤولة عن واجهة AEAD ضمن واجهة المستخدم للتشفير AF_ALG في كيرنل لينكس. الخلل المنطقي يتيح تنفيذ كتابة محكومة بحجم 4 بايت داخل صفحة الذاكرة (page cache) لأي ملف قابل للقراءة في النظام. خلافاً لثغرات الانتقال السابقة مثل Dirty Cow وDirty Pipe، فإن Copy Fail لا تعتمد على ظروف سباق (race conditions) ولا تتطلب نوافذ توقيت دقيقة — مما يجعلها قابلة للاستغلال بشكل حتمي ومتكرر.

الأخطر أن التعديل يحدث على النسخة المخزنة في ذاكرة الكيرنل دون تغيير الملف على القرص، مما يصعّب اكتشاف الهجوم بأدوات مراقبة سلامة الملفات (FIM) التقليدية. مصدر تأكيد الثغرة من Wiz وMicrosoft Security.

من ثغرة محلية إلى أداة هروب من Kubernetes

page cache في لينكس مشتركة بين جميع العمليات على نفس المضيف، بما في ذلك العمليات داخل الحاويات. هذا يجعل Copy Fail ليست مجرد ثغرة تصعيد صلاحيات محلية، بل بدائية كاملة لـ container escape ووسيلة للسيطرة على عُقد Kubernetes بأكملها. مهاجم اخترق حاوية تطبيق ويب (مثلاً عبر RCE في حاوية API بنكي) يستطيع الانتقال أفقياً إلى المضيف ومنه إلى بقية عُقد العنقود.

التهديد يتضاعف في بيئات OpenShift وEKS وAKS وGKE المستخدمة في معظم بنوك المملكة لتشغيل الخدمات الرقمية وقنوات الدفع، حيث تمر عمليات تشغيل الحاويات على نواة لينكس مشتركة دون عزل عن طريق الأجهزة الافتراضية الكاملة.

التأثير على المؤسسات المالية السعودية

ضمن إطار SAMA Cyber Security Framework، تقع Copy Fail تحت ضوابط إدارة الثغرات (3.3.14) والتصلب الأمني (3.3.6) والاستجابة للحوادث (3.3.15). السيناريو الواقعي للبنوك السعودية: مهاجم يحصل على وصول مبدئي عبر ثغرة في تطبيق ويب أو عبر هجوم سلسلة توريد، ثم يستخدم Copy Fail للقفز إلى صلاحيات root على خوادم تشغيل محرك المعاملات أو منصات Open Banking المتوافقة مع SAMA.

على صعيد NCA ECC-2:2024، تخالف هذه الثغرة دون إصلاح ضوابط 2-10-1 (إدارة الثغرات) و2-3-3 (تصلب الأنظمة) و2-15 (أمن البيانات). كذلك في PDPL، أي تسرب نتيجة تصعيد صلاحيات يستوجب الإبلاغ خلال 72 ساعة لمكتب حماية البيانات الشخصية SDAIA إذا تأثرت بيانات العملاء.

التوصيات والخطوات العملية لفرق SOC والـ DevSecOps

1. تطبيق التحديثات الفورية لكيرنل لينكس من الموردين: Ubuntu، Red Hat، SUSE، Amazon Linux 2 وAL2023، CloudLinux. تحقق من رقم الإصدار وأعد تشغيل الخوادم بحذر مع تنسيق نوافذ صيانة محكومة.
2. كحل مؤقت قبل التصحيح: تعطيل وحدة algif_aead بشكل دائم عبر إضافة blacklist algif_aead في /etc/modprobe.d/ ثم rebuild initramfs والتحقق عبر lsmod.
3. تشغيل عمليات scan داخلية باستخدام Tenable Nessus أو Qualys VMDR للكشف عن الأنظمة المتأثرة، وإعطاء أولوية قصوى لخوادم core banking وSWIFT gateways وبيئات HSM.
4. تفعيل قواعد كشف eBPF في أدوات EDR مثل Falco أو CrowdStrike لمراقبة استخدامات AF_ALG غير المعتادة من حسابات منخفضة الصلاحيات.
5. مراجعة سياسات Pod Security Standards في Kubernetes ومنع مشاركة hostPID وhostNetwork، وفرض seccomp profiles تحظر استدعاءات AF_ALG غير اللازمة.
6. توثيق الحادث في سجل الثغرات وتقديم تقرير الامتثال لمفوض الأمن السيبراني في البنك خلال 7 أيام عمل، حسب متطلبات SAMA.

الخلاصة

Copy Fail ليست ثغرة عابرة — هي إعادة معايرة لمشهد التهديدات على مستوى الكيرنل في كل بنك سعودي يعتمد على لينكس. الموثوقية العالية للاستغلال، وغياب الحاجة لظروف سباق، والقدرة على الهروب من الحاويات تجعل النافذة الزمنية بين الكشف والاستغلال الفعلي قصيرة جداً. الأولوية اليوم: تصحيح فوري، عزل الحاويات، وتحديث playbooks الاستجابة للحوادث بسيناريو تصعيد الصلاحيات عبر AF_ALG.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وحماية البنية التحتية للحاويات.