ثغرة Copy Fail (CVE-2026-31431): تصعيد جذر شامل في Linux يهدد بنوك SAMA

أعلنت CISA في الأول من مايو 2026 إدراج ثغرة CVE-2026-31431 — المعروفة بـ Copy Fail — في كتالوج الثغرات المُستغَلة فعلياً (KEV)، بعد رصد استغلال نشط واستخدام إثبات مفهوم (PoC) منشور علناً. الثغرة تكمن في النواة Linux Kernel منذ عام 2017، وتمنح أي مستخدم محلي غير مميّز صلاحيات root كاملة عبر كتابة 4 بايتات فقط في ذاكرة الـ page cache. هذا الاكتشاف يضع البنية التحتية لجميع البنوك السعودية الخاضعة لرقابة SAMA أمام تهديد مباشر.

ما هي ثغرة Copy Fail وكيف تعمل؟

الثغرة CVE-2026-31431 هي خلل منطقي في قالب التشفير authenc داخل واجهة التشفير في النواة Linux. اكتشفها باحثون من Microsoft وتم توثيقها لاحقاً من قِبل Wiz وTenable. تسمح الثغرة لمستخدم محلي بإطلاق عملية كتابة محسوبة ومتحكَّم بها بطول 4 بايتات داخل page cache لأي ملف قابل للقراءة على النظام. هذه الكتابة المحدودة كافية لتعديل بنى نواة حساسة مثل cred struct، ما يفتح الباب أمام تصعيد الصلاحيات إلى root بشكل حتمي.

درجة CVSS هي 7.8 (عالية)، لكن التأثير العملي أخطر بكثير لأن الثغرة عالمية الانتشار: تطال كل توزيعات Linux التي تستخدم نواة من 2017 فأحدث — بما في ذلك Ubuntu 24.04 LTS وRHEL 10.1 وSUSE 16 وAmazon Linux 2023 وDebian وFedora.

لماذا تُعتبر هذه الثغرة مختلفة؟

أغلب ثغرات تصعيد الصلاحيات في النواة تتطلب ظروفاً خاصة، أو تعتمد على سباقات شرطية (race conditions) صعبة الاستغلال. Copy Fail مختلفة جوهرياً: الاستغلال حتمي (deterministic)، لا يحتاج ضبط توقيت دقيق، ويعمل عبر معماريتي x86_64 وARM64. PoC الكامل منشور على GitHub، ويعمل خلال ثوانٍ معدودة من تشغيله على النظام المستهدف.

السيناريو الأخطر للبنوك ليس المهاجم الخارجي مباشرة، بل تحويل أي ثغرة دخول أولي محدودة الصلاحيات — مثل اختراق حاوية Docker، أو سيطرة على حساب خدمة مقيد، أو حتى استغلال ثغرة تطبيق ويب يعمل بصلاحيات منخفضة — إلى سيطرة كاملة على الخادم خلال أقل من دقيقة.

التأثير على المؤسسات المالية السعودية

أكثر من 80% من الأنظمة الإنتاجية للبنوك الخاضعة لرقابة SAMA تعمل على بيئات Linux: خوادم core banking، بوابات الدفع، أنظمة SWIFT، حاويات الـ Kubernetes، VMware ESXi (الذي يستند إلى نواة قريبة)، وحتى أجهزة الأمن مثل بعض إصدارات Palo Alto وFortinet. هذا يعني أن السطح المعرَّض في أي بنك سعودي تقريباً كامل.

من منظور الامتثال، تنطبق هنا ضوابط متعددة من إطار SAMA CSCC الإصدار 1.0:

• 3.3.5 Patch Management: التزام صارم بتطبيق التحديثات الأمنية الحرجة وفق جدول زمني محدد.
• 3.3.13 Vulnerability Management: متطلب تقييم وإصلاح الثغرات الحرجة خلال 30 يوماً كحد أقصى.
• 3.3.10 Secure Configuration: تصلب أنظمة التشغيل وفق CIS Benchmark.

كذلك يفرض إطار NCA ECC-2 الضابط 2-10-3 بشأن إدارة الثغرات، والضابط 2-3-1 بشأن إدارة الأصول والإعدادات الآمنة. أي بنك لا يطبق التحديث خلال نافذة محددة قد يجد نفسه أمام ملاحظة جوهرية في تقييم SAMA السنوي.

التوصيات والخطوات العملية لفِرَق الأمن السيبراني

1. الجرد الفوري: استخراج قائمة كاملة بكل خوادم Linux وحاويات الإنتاج وإصدارات النواة عبر أدوات مثل Tenable Nessus أو Qualys VMDR أو Wazuh. ركّز على إصدارات النواة الأقدم من التحديثات الصادرة في 30 أبريل 2026.
2. الترقيع المُرحَّل: تطبيق تحديثات النواة الصادرة عن Canonical وSUSE وRed Hat. لـ RHEL استخدم kpatch (Live Patching) لتفادي إعادة التشغيل في الأنظمة الحرجة.
3. تقليل سطح الهجوم: تعطيل وحدات التشفير غير المستخدمة في النواة عبر modprobe.blacklist، وتقييد قدرة المستخدمين العاديين على تحميل الوحدات (kernel.modules_disabled=1) في الخوادم الإنتاجية.
4. تشديد الحاويات: تطبيق seccomp profiles صارمة وAppArmor/SELinux في كل حاويات Kubernetes، مع تفعيل runtime detection عبر Falco أو Sysdig Secure لرصد محاولات استدعاء واجهة التشفير بشكل غير طبيعي.
5. تحديث قواعد EDR: التأكد من أن CrowdStrike أو SentinelOne أو Trend Micro Vision One لديها توقيعات Copy Fail المحدّثة، خاصة قاعدة رصد الكتابة المريبة في cred struct.
6. اختبار الاختراق المُوجَّه: تنفيذ assumed-breach scenario يحاكي مستخدماً منخفض الصلاحيات على خادم إنتاجي، والتحقق من قدرة فريق SOC على رصد محاولة استغلال Copy Fail خلال 15 دقيقة.
7. التوثيق التنظيمي: تحديث Risk Register، وتوليد KRI جديد لمتابعة نسبة الخوادم المُرقَّعة، وإبلاغ لجنة الأمن السيبراني التابعة لمجلس الإدارة وفق متطلب SAMA CSCC 3.1.4.

الخلاصة

Copy Fail ليست مجرد ثغرة Linux أخرى؛ إنها تذكير صارم بأن البنية التحتية الأساسية لقطاعنا المصرفي تستند إلى نواة برمجية قد تحمل عيوباً عمرها سنوات قبل أن تُكتشف. مع وجود استغلال علني ومتطلبات SAMA الزمنية الصارمة، فإن نافذة العمل ضيقة جداً. كل يوم تأخير يعني تصاعد المخاطر التشغيلية وزيادة احتمالات حادثة قد تستوجب الإفصاح وفق متطلبات الإفصاح في إطار SAMA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني للنضج السيبراني وفق SAMA CSCC، وفحص شامل لمدى تعرض بنيتك لثغرة Copy Fail.