ثغرة Copy Fail (CVE-2026-31431): تصعيد صلاحيات Root يهدد خوادم بنوك SAMA

في 29 أبريل 2026 كشف باحثون عن ثغرة محلية في نواة Linux أُطلق عليها اسم "Copy Fail" تحمل المعرّف CVE-2026-31431، وفي غضون 48 ساعة أضافتها وكالة CISA إلى كتالوج الثغرات المستغَلة فعلياً (KEV) بمهلة ترقيع فيدرالية تنتهي في 15 مايو 2026. ما يجعل هذه الثغرة استثنائية ليس درجتها (CVSS 7.8) بل عمرها — تسع سنوات كاملة في الإنتاج — وانتشارها على كل توزيعة Linux تقريباً تُشغّل خوادم البنوك السعودية اليوم.

تشريح ثغرة Copy Fail في نواة Linux

تنبع الثغرة من تحسين قديم أُدخل عام 2017 على واجهة AF_ALG التي تستخدمها التطبيقات للوصول إلى المعجِّلات التشفيرية في النواة. تُعيد النواة استخدام نفس صفحة الذاكرة كمصدر ووجهة أثناء عمليات النسخ التشفيري لتوفير الأداء، وعند دمج هذا السلوك مع نظام الاستدعاء splice() يستطيع المهاجم تنفيذ كتابة موجّهة بحجم 4 بايتات داخل ذاكرة Page Cache لأي ملف قابل للقراءة.

النتيجة المباشرة: تعديل التمثيل الذاكري لثنائيات تمتلك صلاحيات SUID مثل /usr/bin/su أو /usr/bin/sudo، ما يمنح المهاجم جلسة Root نظيفة. الاستغلال حتمي ولا يعتمد على سباقات (race conditions)، ومحلّلو Tenable و Help Net Security وثّقوا سكربتاً عاملاً لا يتجاوز 732 بايت يعمل عبر التوزيعات المختلفة دون تعديل.

نطاق التأثير: من الخادم المعدني إلى الحاويات السحابية

أكدت Red Hat و SUSE و Canonical (Ubuntu) و AWS أن نسخها متأثرة، بما في ذلك Red Hat Enterprise Linux 8 و 9 و Ubuntu 20.04 LTS و 22.04 LTS و 24.04 LTS و Amazon Linux 2 و 2023. الأخطر أن الثغرة تكسر عزل الحاويات: مهاجم يمتلك صلاحيات داخل حاوية Docker أو Kubernetes Pod يستطيع الخروج إلى المضيف، ما يحوّل ثغرة محلية إلى تهديد متعدد المستأجرين في بيئات OpenShift و EKS التي تعتمدها بنوك سعودية لتشغيل أنظمة Core Banking والمدفوعات.

أصدرت Qualys و SafeBreach بيانات استغلال نشط في البرّية بحلول 4 مايو 2026، مع رصد أنماط مرتبطة بمجموعات تهديد تستهدف القطاع المالي في الشرق الأوسط.

التأثير على المؤسسات المالية السعودية

غالبية أنظمة الـ Switch المصرفي وخوادم API Gateway و SWIFT Alliance Access في البنوك السعودية تعمل على Red Hat Enterprise Linux أو Oracle Linux. ضوابط SAMA CSCC 3.3.5 و 3.3.10 تُلزم البنك بإدارة الثغرات وفق درجات CVSS ومُهَل زمنية محددة، أما الضابط 3.3.14 فيطلب تقييماً لمخاطر التصعيد إلى Root في الأنظمة الحرجة.

كذلك تشترط لائحة NCA ECC-1:2018 في المكون 2-10-3 إدارة استباقية للترقيعات الأمنية، فيما يفرض معيار PCI-DSS v4.0 في المتطلب 6.3.3 ترقيع الثغرات الحرجة خلال شهر واحد من الإصدار. تجاهل Copy Fail لا يعني فقط مخاطرة تقنية، بل ملاحظة تدقيقية واضحة في تقرير SAMA السنوي للنضج السيبراني.

التوصيات والخطوات العملية لفِرَق الأمن في البنوك

1. طبّق الترقيعات فوراً: نواة Linux 6.6.91 و 6.12.30 و 6.14.10 وما فوق، أو حزم التوزيعات من Red Hat RHSA-2026:2148 و Ubuntu USN-7321-1 و SUSE-SU-2026:1502.
2. اعتبر الخوادم التي لا يمكن إيقافها فوراً (مثل HSM gateway أو SWIFT) ضمن قائمة Compensating Controls وفعّل SELinux في وضع enforcing مع سياسات تقيّد socket(AF_ALG).
3. فعّل قواعد كشف eBPF أو Falco لرصد استدعاءات splice() المتزامنة مع AF_ALG على عمليات غير موثوقة، وأضف Sigma rules المنشورة من ExtraHop إلى منصة SIEM (QRadar أو Splunk).
4. راجع صور حاويات Kubernetes/OpenShift وأعد بناءها على base images محدّثة، ثم فرضها عبر Admission Controller يرفض الصور القديمة.
5. قيّد امتيازات الحاويات: امنع CAP_SYS_ADMIN و privileged: true، وفعّل seccomp profiles تحجب AF_ALG.
6. وثّق التغيير في سجل إدارة الثغرات وفق SAMA CSCC 3.3.5، وأرفق تقرير ما قبل وبعد الترقيع لإثبات الامتثال خلال التدقيق القادم.

الخلاصة

ثغرة Copy Fail ليست ثغرة عابرة، بل دليل على أن الديون التقنية في نواة Linux تتحول إلى ديون تنظيمية عند تقاطعها مع لوائح SAMA و NCA. كل يوم تأخير في الترقيع يُترجم إلى مخاطرة فعلية على بيانات العملاء وسلامة معاملات SARIE و مدى، وإلى انكشاف تدقيقي أمام المراجعين.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.