CopyFail: ثغرة عمرها 9 سنوات في نواة Linux تهدد خوادم البنوك السعودية

في 29 أبريل 2026 أُعلن عن ثغرة CVE-2026-31431 المعروفة باسم "CopyFail" في نواة Linux، وهي ثغرة عمرها تسع سنوات تتيح لأي مستخدم محلي عادي رفع صلاحياته إلى root في ثوانٍ. مع كود استغلال علني من 732 بايت فقط، أصبحت الخوادم اللينكسية في البنوك السعودية في مرمى مباشر، خصوصاً تلك التي تشغّل أنظمة الدفع وقواعد البيانات الحرجة الخاضعة لرقابة SAMA.

تشريح ثغرة CopyFail في وحدة algif_aead

الخلل يقع في القالب التشفيري authencesn ضمن وحدة algif_aead، وهي واجهة AF_ALG التي تُتيح للتطبيقات في فضاء المستخدم الوصول إلى محرّكات التشفير في النواة. في عام 2017 أُضيفت عملية تحسين لتنفيذ عمليات AEAD داخل المخزن نفسه (in-place)، لكن الكود ربط صفحات الوسم (tag pages) بالإشارة عبر sg_chain() دون نسخها فعلياً. النتيجة: مستخدم غير مميّز يستطيع كتابة 4 بايتات يتحكم بمحتواها داخل صفحة المخزن المؤقت (page cache) لأي ملف قابل للقراءة على النظام، ومن هناك تعديل ثنائيات setuid مثل su أو sudo للحصول على صلاحيات root.

على عكس ثغرات Dirty Cow و Dirty Pipe الشهيرة، لا تتطلب CopyFail الفوز بسباق ذاكرة (race condition)، مما يجعل الاستغلال موثوقاً إلى حد بعيد ويعمل على جميع الأنظمة المتأثرة بالكود نفسه. درجة CVSS الرسمية 7.8، لكن التأثير الفعلي أعلى نظراً للاتساع الزمني والجغرافي للأنظمة المتأثرة.

نطاق التأثير على البنية التحتية اللينكسية

الثغرة تطال عملياً كل توزيعة Linux رئيسية صدرت منذ 2017، بما فيها Red Hat Enterprise Linux 7/8/9، Ubuntu 18.04 وما بعدها، SUSE Linux Enterprise Server، Oracle Linux، Amazon Linux، وحتى صور الحاويات المبنية على هذه التوزيعات في بيئات Kubernetes و OpenShift. وحدة algif_aead مفعّلة افتراضياً وقابلة للتحميل التلقائي عند أول استدعاء لواجهة AF_ALG، ما يعني أن أي خادم يبدو "نظيفاً" قد يكون عرضة للاستغلال بمجرد تنفيذ الكود الأول.

في سياق البنوك السعودية، هذا يعني أن خوادم Core Banking على Oracle Linux، عُقد Hadoop لتحليلات مكافحة الاحتيال، خوادم بوابات الدفع، حاويات الخدمات المصغّرة في DevOps، وحتى مضيفات Jump Servers لعمليات الإدارة عن بُعد، جميعها أهداف محتملة. سيناريو الاستغلال الواقعي: مهاجم يحصل على تنفيذ كود ابتدائي عبر ثغرة في تطبيق ويب أو هندسة اجتماعية ضد مطوّر، ثم يستخدم CopyFail خلال دقائق ليصبح root ويتحرك أفقياً إلى أنظمة أكثر حساسية.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA CSCC

إطار SAMA Cyber Security Control Cybersecurity Framework (CSCC) يُلزم المؤسسات المالية بضوابط واضحة تتقاطع مع هذه الثغرة. الضابط 3.3.14 الخاص بإدارة الثغرات (Vulnerability Management) يفرض دورة معالجة محددة للثغرات الحرجة وعالية الخطورة، فيما يفرض الضابط 3.3.5 (Identity & Access Management) الفصل الصارم بين الصلاحيات، وهو ما تنسفه CopyFail بضربة واحدة. كذلك يتداخل التأثير مع متطلبات NCA ECC في الضوابط 2-7 (إدارة الثغرات والتصحيح) و 2-3 (حماية الأصول المعلوماتية).

الأخطر أن المعالجة لا تتوقف عند تركيب التحديث: مادام كود الاستغلال علنياً ومتاحاً لكل من يبحث عنه، فإن أي تأخير في التصحيح يُعد فجوة امتثال يجب توثيقها وتبريرها أمام فرق الإشراف الداخلية، وقد تطلبها SAMA في عمليات التدقيق ربع السنوية. نظام حماية البيانات الشخصية PDPL يُضيف بُعداً آخر: تسريب بيانات العملاء عبر اختراق ناتج عن ثغرة معروفة سيُعتبر إهمالاً يستوجب الإبلاغ خلال 72 ساعة وفق المادة 28 من اللائحة التنفيذية.

التوصيات والخطوات العملية للفرق الأمنية

1. التخفيف الفوري: تعطيل وحدة algif_aead على جميع الخوادم الإنتاجية بإضافة السطر install algif_aead /bin/false إلى ملف /etc/modprobe.d/disable-algif.conf، ثم تنفيذ modprobe -r algif_aead للتحقق من إزالتها من الذاكرة.
2. تركيب التصحيحات: اعتماد التحديثات الصادرة من Ubuntu، Red Hat، SUSE، وOracle خلال 72 ساعة على البيئات الحرجة، و7 أيام كحد أقصى للبيئات غير الإنتاجية وفق سياسة Patch Management المتسقة مع SAMA CSCC.
3. كشف الاستغلال: نشر قواعد رصد على EDR وأنظمة SIEM لرصد استدعاءات socket(AF_ALG) غير الاعتيادية، وتعديلات على ثنائيات setuid مثل /bin/su و /usr/bin/sudo، إضافةً إلى أي عمليات كتابة لصفحات page cache من قِبل عمليات غير جذرية.
4. تقوية الحاويات: مراجعة صور Docker وKubernetes المستخدمة في خدمات الدفع وتطبيق seccomp profile يحجب استدعاء AF_ALG، مع تفعيل readOnlyRootFilesystem و allowPrivilegeEscalation: false في جميع Pods.
5. صيد التهديدات: إجراء عملية Threat Hunting بأثر رجعي تغطي 30 يوماً للبحث عن مؤشرات استغلال محتمل سابق، خصوصاً على الخوادم التي تستضيف بيانات عملاء أو مفاتيح تشفير.
6. التقرير للإدارة: رفع تقرير إلى لجنة الأمن السيبراني وCISO خلال 48 ساعة يوضّح نطاق التأثير، نسبة التغطية في التصحيح، والمخاطر المتبقية، وأرشفته كدليل امتثال.

الخلاصة

تكشف CopyFail عن حقيقة مزعجة: الثغرات القديمة جداً قد تظل كامنة لسنوات في الكود الأكثر استخداماً قبل أن تنفجر بشكل علني ومدمّر. في القطاع المالي السعودي حيث تشكّل خوادم Linux العمود الفقري للخدمات الرقمية، فإن الفارق بين بنك آمن وآخر مخترق قد يكون 4 بايتات وكود Python من 10 أسطر. السرعة في التخفيف والتصحيح ليست خياراً، بل التزاماً تنظيمياً صريحاً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى نضجك السيبراني وفق SAMA CSCC، يشمل مسحاً سريعاً لتعرّض بنيتك التحتية اللينكسية لـ CopyFail والثغرات المماثلة.