CVE-2026-31431 "Copy Fail": 732 بايت تكفي للسيطرة على خوادم بنوك SAMA

كشف باحثون من شركة Xint عن ثغرة كيرنل لينكس عالية الخطورة بمسمى "Copy Fail" (CVE-2026-31431) تسمح لأي مستخدم محلي غير مميّز بالحصول على صلاحيات root عبر سكربت بايثون لا يتجاوز 732 بايت. الثغرة موجودة منذ أغسطس 2017 وتطال فعلياً جميع توزيعات لينكس المنتشرة في مراكز بيانات البنوك السعودية الخاضعة لرقابة SAMA، بما في ذلك RHEL وUbuntu وSUSE والأنظمة المضيفة لـ Kubernetes.

تشريح ثغرة Copy Fail في كيرنل لينكس

الثغرة عبارة عن خلل منطقي في وحدة algif_aead، وهي واجهة AF_ALG التي تُتيح لمستخدمي userspace الوصول إلى نظام التشفير الفرعي في الكيرنل. عند استخدام استدعاء splice() لربط ملف بأنبوب ثم بمأخذ AF_ALG، تحتفظ قائمة scatterlist الخاصة بالمأخذ بمراجع مباشرة لصفحات ذلك الملف داخل page cache. الخلل يسمح بكتابة محكومة 4 بايت داخل أي صفحة قابلة للقراءة في النظام دون وضع علامة dirty عليها، ما يعني أن الملف على القرص لا يتغير، لكن النسخة المُخزّنة في الذاكرة — وهي التي تُقرأ فعلياً عند تنفيذ الثنائيات — تُصبح ملوثة على مستوى النظام كاملاً.

المهاجم يحتاج فقط إلى تعديل بايتات قليلة في ثنائي setuid مثل /usr/bin/su أو passwd أو sudo لتحويله إلى قناة مباشرة للحصول على root. وعلى عكس ثغرات Dirty Cow وDirty Pipe، لا يحتاج Copy Fail إلى الفوز بسباق race condition، ويعمل الاستغلال نفسه دون تعديل على الغالبية العظمى من الأنظمة.

لماذا هذه الثغرة تتجاوز حدود الخادم الواحد

page cache في لينكس مشتركة بين جميع الحاويات (containers) العاملة على المضيف نفسه. هذا يعني أن استغلال Copy Fail من داخل حاوية Docker أو Pod في Kubernetes يكفي للوصول إلى صفحات الملفات على المضيف، ومن ثم تنفيذ container escape والسيطرة على عقدة Kubernetes كاملة. في مراكز بيانات البنوك التي تعتمد على OpenShift أو Rancher أو EKS لتشغيل تطبيقات الدفع وواجهات Open Banking، يتحول كل Pod معرّض للإنترنت إلى نقطة دخول محتملة لاختراق المضيف بأكمله.

تحذير CERT-EU وفريق CCB البلجيكي وضع الثغرة ضمن تصنيف High بدرجة CVSS 7.8، ونصحت بترقيع فوري قبل ظهور أكواد استغلال علنية، خصوصاً أن الباحثين نشروا تفاصيل تقنية كافية لإعادة بناء الاستغلال خلال ساعات.

التأثير على المؤسسات المالية السعودية

تُلزم ضوابط SAMA CSCC في المجالات 3.3.5 (إدارة الثغرات) و3.3.10 (أمن أنظمة التشغيل) المؤسسات المالية بتطبيق الترقيعات الحرجة خلال نوافذ زمنية محددة، خاصة عندما يكون الاستغلال متاحاً علنياً. في البيئات السعودية، يُشغّل القطاع المصرفي أحمال العمل الحساسة على RHEL وOracle Linux، وكثير من بنوك مدفوعات madaa والتطبيقات المرتبطة بمنظومة سريع تعتمد على Kubernetes لنشر خدمات الدفع اللحظي.

كما تتقاطع الثغرة مع متطلبات NCA ECC-1:2018 في الضابط 2-3-3 (إدارة التحديثات الأمنية) و2-5-3 (تقسيم الشبكات)، وتُمثل تهديداً مباشراً لسرية البيانات وفق نظام PDPL، إذ إن صلاحية root على خادم تطبيقات تعني وصولاً غير مشروط إلى البيانات الشخصية وبيانات حاملي البطاقات الخاضعة لـ PCI-DSS v4.0.

التوصيات والخطوات العملية لفرق SOC وGRC

1. الترقيع الفوري: تطبيق التحديثات المنشورة من Red Hat (RHSA-2026:1823)، Canonical (USN-7421-1)، وSUSE (SUSE-SU-2026:1402) على جميع الخوادم وعقد Kubernetes بدون تأجيل، مع إعطاء الأولوية للأنظمة التي تستضيف بيانات حاملي البطاقات.
2. تعطيل AF_ALG كحل مؤقت: إذا تعذّر الترقيع فوراً، يُنصح بتحميل وحدة algif_aead من القائمة السوداء عبر /etc/modprobe.d/ أو استخدام seccomp لمنع استدعاءات AF_ALG في الحاويات.
3. تشديد سياسات الحاويات: تفعيل readOnlyRootFilesystem، وتطبيق Pod Security Standards بمستوى restricted، ومنع imagePullPolicy المرن في clusters الإنتاج.
4. الكشف عن الاستغلال: مراقبة استدعاءات النظام عبر eBPF أو Falco للبحث عن أنماط splice + AF_ALG غير المعتادة، خصوصاً تلك التي تُجريها عمليات userspace غير معروفة.
5. مراجعة سلامة الملفات: تشغيل أدوات FIM مثل AIDE أو Tripwire للتحقق من أن ثنائيات setuid لم تتعرض لتعديل في الذاكرة أو على القرص، مع فحص hash للذاكرة الحية وليس فقط القرص.
6. توثيق الامتثال: تحديث سجل الثغرات في منصة GRC، وإصدار تقرير للجنة المخاطر يوضح حالة التعرض والترقيع للجهات الرقابية، تماشياً مع متطلبات SAMA لرفع تقارير الحوادث الجوهرية خلال 72 ساعة.

الخلاصة

ثغرة Copy Fail ليست مجرد CVE تقني آخر، بل اختبار حقيقي لجاهزية البنية التحتية للبنوك السعودية أمام ثغرات يدوم أثرها لتسع سنوات داخل الكيرنل. السرعة في الترقيع، وإحكام عزل الحاويات، وتفعيل اكتشاف السلوك الشاذ — ثلاثة عناصر تُحدد ما إذا كانت مؤسستك ستتحول إلى قصة نجاح أو إلى البلاغ الإلزامي القادم لـ SAMA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة سياسات إدارة الثغرات وأمن البنية التحتية للحاويات.