ثغرة Copy Fail (CVE-2026-31431): تصعيد صلاحيات root يهدد خوادم بنوك SAMA

أضافت وكالة CISA الأمريكية في الأول من مايو 2026 ثغرة Copy Fail المعرّفة بـ CVE-2026-31431 إلى قائمة الثغرات المُستغلَّة فعلياً (KEV)، مع مهلة تصحيح حتى 15 مايو. الثغرة تكمن في نواة لينكس منذ تسع سنوات وتمنح أي مستخدم محلي صلاحيات root عبر سكربت بايثون لا يتجاوز 732 بايت يعمل دون تعديل على Ubuntu وRHEL وSUSE وAmazon Linux. هذا التحليل يفصّل التأثير المباشر على خوادم البنوك والمؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA).

تشريح ثغرة Copy Fail في نواة لينكس

اكتشف باحثو شركتي Theori وXint أن الخلل ينتج عن تفاعل غير آمن بين واجهة AF_ALG socket المسؤولة عن العمليات التشفيرية، واستدعاء النظام splice() المُستخدم لنقل البيانات بين descriptors الملفات. يستطيع المهاجم تنفيذ كتابة محكومة بحجم 4 بايتات في page cache الخاصة بنواة لينكس، مستهدفاً أي ملف قابل للقراءة، مما يسمح بتعديل التمثيل الذاكري للملفات التنفيذية الحساسة مثل /usr/bin/su دون لمس النسخة على القرص. عند تنفيذ الملف المُعدَّل، يحصل المهاجم تلقائياً على صلاحيات root كاملة. درجة CVSS هي 7.8، ويصنّف الباحثون الثغرة على أنها أخطر تصعيد صلاحيات منذ Dirty Pipe بسبب موثوقيتها العالية وسهولة استغلالها.

ما يجعل Copy Fail استثنائية في خطورتها

الميزة الأخطر في هذه الثغرة هي قابليتها للنقل بين التوزيعات دون أي تعديل. السكربت ذاته يعمل على Ubuntu 24.04 LTS وAmazon Linux 2023 وRed Hat Enterprise Linux 10.1 وSUSE 16 وDebian وFedora وArch Linux، دون الحاجة إلى offsets خاصة بكل إصدار نواة. السكربت لا يستخدم سوى مكتبة بايثون القياسية واستدعاءات نظام عادية، ما يعني أن أي بيئة بها مفسر بايثون مكشوفة. ترصد فرق Microsoft Defender نشاط استغلال أولي تجريبي، وتتوقع تصاعداً في حملات الاستغلال خلال الأيام المقبلة، خصوصاً في بيئات الحاويات والمضيفين متعددي المستأجرين (multi-tenant) حيث يمتلك المهاجم حساباً محلياً منخفض الصلاحية كنقطة انطلاق.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

تعتمد الغالبية العظمى من بنوك المملكة على بنية تحتية تشغّل توزيعات لينكس في طبقات حساسة: خوادم core banking، عقد Kubernetes، خوادم Oracle DBaaS، أنظمة SWIFT المرتبطة، وبيئات DevOps. ثغرة Copy Fail تمنح أي تطبيق ويب مخترق أو حساب موظف داخلي ضعيف الصلاحية القدرة على الترقي إلى root في ثوانٍ، وهو تجاوز مباشر لمبدأ Least Privilege المفروض في SAMA Cybersecurity Framework ضمن الضابطين 3.3.5 و3.3.6 الخاصين بإدارة الهويات والوصول. كما يخالف الاستغلال الناجح متطلبات الفصل بين البيئات في NCA ECC-1:2018 الضابط 2-2-3-2، ويعرّض البيانات الشخصية للعملاء لاختراق يستوجب الإبلاغ خلال 72 ساعة وفق نظام حماية البيانات الشخصية PDPL المادة 20. أي بنك خاضع لـ PCI-DSS v4.0 سيواجه أيضاً انتهاكاً للمتطلب 7 (تقييد الوصول حسب الحاجة) والمتطلب 11.3 (إدارة الثغرات).

التوصيات العملية للاستجابة الفورية

1. الترقيع الفوري قبل 15 مايو: تطبيق التحديثات الأمنية من بائع توزيعتك (Red Hat RHSB-2026-02، Ubuntu USN-7421، Amazon Linux ALAS-2026-2891). أعد تشغيل الخوادم لضمان تحميل النواة الجديدة.
2. تقييم تعرّض الأصول: استخدم Qualys VMDR أو Tenable Nessus بقوالب الكشف الجديدة لـ CVE-2026-31431 لجرد كل خوادم لينكس، مع إعطاء الأولوية للأنظمة المواجهة للإنترنت وعقد Kubernetes متعددة المستأجرين.
3. تقييد AF_ALG كإجراء مؤقت: قبل الترقيع، يمكن تعطيل واجهة AF_ALG عبر echo "install algif_hash /bin/true" > /etc/modprobe.d/disable-afalg.conf ثم إعادة بناء initramfs، مع التحقق من عدم اعتماد تطبيقاتك على هذه الواجهة.
4. تفعيل الكشف السلوكي: أضف قواعد Falco أو Sysdig لرصد استدعاءات splice() غير الاعتيادية على AF_ALG sockets، وراقب أي تعديلات على ملفات setuid في الذاكرة.
5. مراجعة سجلات SOC: ابحث في سجلات auditd عن أنماط استغلال خلال آخر 30 يوماً، خصوصاً عمليات تنفيذ غير معتادة لـ /usr/bin/su من سياقات تطبيقات الويب أو حسابات الخدمة.
6. تحديث خطة الاستجابة للحوادث: أدرج Copy Fail ضمن سيناريوهات playbook الخاصة بفريق الـ SOC، وحدّث مصفوفة Crown Jewels لتشمل خوادم لينكس الحرجة.
7. توثيق الامتثال: جهّز مستندات الترقيع والتقييم لتقديمها ضمن تقرير الامتثال الدوري لـ SAMA، مع ربط الإجراءات بضوابط CSCC ذات الصلة.

الخلاصة

ثغرة Copy Fail تمثل تذكيراً صارخاً بأن الثغرات الكامنة في نواة لينكس منذ سنوات قد تتحول فجأة إلى سلاح جاهز للاستخدام بمجرد كشفها. المؤسسات المالية السعودية أمام نافذة زمنية ضيقة لتطبيق الترقيع وتقييم تعرّضها قبل أن تتحول حملات الاستغلال التجريبية إلى موجة هجمات منظمة. الالتزام بـ SAMA CSCC وNCA ECC ليس مجرد متطلب تنظيمي، بل خط دفاع حقيقي يبدأ بإدارة ثغرات منضبطة وتفعيل كشف سلوكي يقظ.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، ومراجعة جاهزية بنيتك التحتية للينكس أمام Copy Fail والثغرات المماثلة.