Copy Fail (CVE-2026-31431): ثغرة Linux الجذرية تهدد بنوك SAMA

أضافت وكالة CISA الأمريكية في الأول من مايو 2026 ثغرة CVE-2026-31431 المعروفة باسم Copy Fail إلى كتالوج الثغرات المُستغلة فعلياً (KEV)، بعد رصد هجمات نشطة تستهدف نواة Linux. هذه الثغرة، التي ظلت كامنة في الكود لتسع سنوات، تمنح المهاجم صلاحيات root كاملة عبر سكربت Python بسيط — وهو ما يضع كل خادم Linux في بيئة بنوك SAMA تحت دائرة الخطر المباشر.

تفاصيل ثغرة Copy Fail في نواة Linux

تكمن الثغرة في النظام الفرعي للتشفير داخل نواة Linux، وتحديداً في مسار algif_aead / AF_ALG. يستغل المهاجم خللاً يسمح بالكتابة فوق 4 بايتات بشكل مُتحكَّم به في ذاكرة التخزين المؤقت لصفحات النواة (page cache)، مما يُمكّنه من تعديل الملفات الثنائية ذات صلاحية setuid مثل /usr/bin/sudo أو /usr/bin/passwd وهي محمّلة في الذاكرة. النتيجة: تصعيد فوري إلى صلاحيات UID 0 (root) دون الحاجة إلى تخمين عناوين الذاكرة أو استغلال شروط السباق (race conditions).

درجة CVSS تبلغ 7.8، لكن الخطر الفعلي أعلى بكثير لأن الاستغلال موثوق ولا يحتاج إلى محاولات متعددة. الثغرة تؤثر على معظم توزيعات Linux التجارية: Red Hat Enterprise Linux، SUSE، Ubuntu، Amazon Linux، AlmaLinux، وRocky Linux. ملايين عقد Kubernetes وأحمال العمل السحابية معرّضة طالما لم يُطبَّق التصحيح.

لماذا تُعد هذه الثغرة كارثية لبيئات الإنتاج المصرفية؟

البنوك السعودية تعتمد بشكل كبير على Linux في تشغيل الأنظمة الجوهرية: خوادم تطبيقات Core Banking، بوابات الدفع، أنظمة كشف الاحتيال، حاويات Docker، عناقيد Kubernetes، وأنظمة قواعد البيانات Oracle/PostgreSQL. أي مستخدم محلي بصلاحيات محدودة — موظف داخلي، حساب خدمة مُختَرَق، أو حاوية ضارة هاربة من العزل — يستطيع الوصول إلى صلاحيات root في ثوانٍ.

الأخطر أن السيناريو الواقعي للاستغلال يبدأ عادةً من ثغرة بسيطة في تطبيق ويب مكشوف للإنترنت (مثل حقن أوامر أو رفع ملف خبيث)، ثم يُستخدم Copy Fail كقفزة للسيطرة الكاملة على الخادم. من هناك، يستطيع المهاجم نشر برمجيات الفدية، سرقة مفاتيح التشفير، أو الانتقال أفقياً نحو شبكة SWIFT أو بيانات بطاقات PCI-DSS.

التأثير على المؤسسات المالية السعودية

إطار SAMA CSCC في الضابطة 3.3.10 يلزم البنوك بإدارة شاملة للثغرات تشمل تطبيق التصحيحات الأمنية وفق جدول زمني محدد بناءً على تصنيف الخطورة. ثغرة Copy Fail المُستغلة فعلياً تستوجب التصحيح خلال 14 يوماً كحد أقصى وفق ممارسات SAMA المرجعية، وتُعد إخلالاً مباشراً بالضوابط 3.3.5 (إدارة الأصول التقنية) و3.3.14 (إدارة الحوادث) إذا لم تُعالَج فوراً.

على صعيد NCA ECC-1:2018، الضابطة 2-10-3-3 تتطلب تطبيق التصحيحات الحرجة في الوقت المناسب، فيما يفرض نظام حماية البيانات الشخصية (PDPL) الإفصاح عن أي خرق ينتج عنه وصول غير مصرّح به للبيانات الشخصية خلال 72 ساعة. تجاهل Copy Fail قد يُترجم إلى عقوبات تنظيمية، فضلاً عن خسائر تشغيلية وسمعية فادحة.

التوصيات والخطوات العملية

1. التصحيح الفوري: طبّق تحديثات النواة الصادرة من المورّد — Ubuntu 22.04/24.04، RHEL 8/9، Amazon Linux 2/2023، وSUSE 15. تحقق من إصدار النواة عبر uname -r بعد إعادة التشغيل.
2. الحل المؤقت: إذا تعذّر التصحيح، عطّل وحدة algif_aead عبر إضافة blacklist algif_aead إلى /etc/modprobe.d/ ثم إعادة بناء initramfs.
3. المراقبة الفعّالة: فعّل قواعد auditd لمراقبة استدعاءات socket(AF_ALG, ...) وأضف توقيعات Falco/Sysdig لاكتشاف محاولات تصعيد الصلاحيات في أحمال Kubernetes.
4. تقليل سطح الهجوم: طبّق سياسات seccomp لمنع syscalls غير الضرورية، استخدم AppArmor/SELinux في الوضع enforcing، وقلّل عدد الملفات الثنائية ذات setuid عبر find / -perm -4000 -type f.
5. المحاسبة على الأصول: أنشئ جرداً كاملاً لخوادم Linux مع إصدارات النواة، وحدّد أولويات التصحيح حسب درجة التعرّض (خوادم مكشوفة للإنترنت أولاً).
6. اختبار الاختراق: اطلب من فريق الأمن الهجومي محاكاة استغلال Copy Fail للتحقق من فعالية الضوابط التعويضية قبل المهاجم الحقيقي.

الخلاصة

Copy Fail ليست مجرد ثغرة تقنية، بل اختبار حقيقي لجاهزية برامج إدارة الثغرات في البنوك السعودية. الفجوة بين إصدار التصحيح وتطبيقه على بيئات الإنتاج هي بالضبط النافذة التي يستغلها المهاجمون اليوم. من يتأخر أسبوعاً، قد يدفع الثمن في حادثة فدية أو خرق بيانات تكلّف ملايين الريالات وتجلب تدقيقاً تنظيمياً قاسياً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وللحصول على خطة معالجة فورية لثغرات Linux الحرجة في بيئتك.