ثغرة Copy Fail CVE-2026-31431: تصعيد جذر Linux يهدد بنوك SAMA

أضافت وكالة الأمن السيبراني الأمريكية CISA في الأول من مايو 2026 ثغرة Copy Fail (CVE-2026-31431) إلى كتالوج الثغرات المُستغلة فعلياً (KEV)، محذرةً من أن سكربت بايثون لا يتجاوز 732 بايت كافٍ لتصعيد امتيازات أي مستخدم محلي إلى صلاحيات root على أغلب توزيعات Linux منذ 2017. هذه الثغرة ليست مجرد عيب تقني عابر، بل تهديد مباشر لنواة الخوادم التي تشغّل كثيراً من تطبيقات بنوك SAMA الحرجة.

تشريح ثغرة Copy Fail في كيرنل Linux

تقع الثغرة في وحدة algif_aead ضمن النظام الفرعي AF_ALG المسؤول عن العمليات التشفيرية في كيرنل Linux. يصنّفها CWE-699 (نقل غير صحيح للموارد بين النطاقات)، وتحمل درجة CVSS قدرها 7.8. جوهر العيب منطقي: عند إجراء عمليات in-place عبر مكالمات splice() على واجهة AF_ALG، تُنفَّذ كتابة محكومة بمقدار 4 بايت داخل ذاكرة page cache لأي ملف قابل للقراءة.

هذه الكتابة الدقيقة تُمكّن المهاجم من إفساد التمثيل الذاكري للثنائيات ذات الامتيازات مثل /usr/bin/su دون تعديل الملف على القرص. عند تنفيذ الثنائي المعدَّل من الذاكرة يحصل المستخدم العادي على صلاحيات root فوراً، متجاوزاً حدود الفصل بين المستخدم والنواة. الأمر المقلق أن الكود الاستغلالي مُنشَر علناً ويعمل بشكل موثوق على Ubuntu 24.04 LTS وRHEL 10.1 وAmazon Linux 2023 وSUSE 16 وDebian وFedora.

لماذا تشكل هذه الثغرة تهديداً مزدوجاً للبنوك

لا تتيح Copy Fail الوصول الأولي بل تصعيد الامتيازات بعده. هذا يعني أن أي مهاجم تمكّن من الحصول على وصول محلي محدود — عبر تصيّد موجَّه لمطوّر، أو حساب خدمة سُرّبت بياناته، أو حتى حاوية Docker تشاركية على Kubernetes — يستطيع التحول من مستخدم بدون صلاحيات إلى root الكامل خلال ثوانٍ.

الخطورة تتضاعف في بيئات السحابة المشتركة التي تستضيف خدمات بنكية. خادم واحد مُعرَّض في عقدة Kubernetes يكفي لاختراق العقدة بأكملها، ومن ثم التحرك أفقياً إلى الحاويات الأخرى التي قد تحوي بيانات معاملات SWIFT أو شهادات SSL أو مفاتيح HSM. كذلك تتأثر أنظمة جمع السجلات SIEM والأنظمة الفرعية لاكتشاف الاحتيال، وكلها تعمل غالباً على نوى Linux قديمة في بيئات الإنتاج.

الأثر على المؤسسات المالية السعودية الخاضعة لـ SAMA

تفرض ضوابط SAMA Cyber Security Framework (CSCC) في البند 3.3.5 (إدارة الثغرات والتصحيحات) على البنوك تطبيق التحديثات الأمنية الحرجة وفق سقف زمني محدد، ويتراوح عادة بين 14 و30 يوماً للثغرات عالية الخطورة. أما البند 3.3.10 (أمن الخوادم) فيشترط تصلب أنظمة التشغيل ومراقبة سلامتها. ثغرة Copy Fail تختبر هذين الضابطين معاً.

إضافة إلى ذلك، يتقاطع هذا التهديد مع متطلبات إطار NCA ECC ضابط 2-7-1 (إدارة الثغرات) و2-3-3 (تصلب الأنظمة)، وكذلك متطلبات PCI-DSS 4.0 المعيار 6.3.3 المتعلق بنشر التصحيحات الأمنية الحرجة خلال شهر واحد على البيئات المعالِجة لبيانات حاملي البطاقات. الفشل في تصحيح هذه الثغرة قد يُترجَم إلى ملاحظات تدقيقية مباشرة في أقرب مراجعة تنظيمية، فضلاً عن خطر تنظيمي تحت لائحة حماية البيانات الشخصية PDPL إذا تسبّبت بتسريب.

التوصيات والخطوات العملية لفرق الأمن

1. التصحيح الفوري إلى إصدارات الكيرنل الآمنة: 6.18.22 أو 6.19.12 أو 7.0 على جميع الخوادم — ابدأ بالأنظمة المواجهة للإنترنت ومضيفات الحاويات.
2. عند تعذّر التصحيح المباشر، عطّل وحدة AF_ALG عبر إضافتها إلى قائمة الحظر: echo "blacklist algif_aead" > /etc/modprobe.d/blacklist-afalg.conf ثم أعد التحميل.
3. راجع سياسات seccomp وAppArmor/SELinux للتأكد من تقييد استدعاء socket() لعائلة AF_ALG على الحاويات والخدمات غير المحتاجة لها.
4. فعّل اكتشاف العمليات الشاذة في حلول EDR على الخوادم لرصد التنفيذ المريب من /tmp و/dev/shm، ولاحظ استدعاءات splice() على واصفات AF_ALG.
5. أجرِ مسحاً عاجلاً لقواعد بيانات أصول الكيرنل عبر أداة مثل Tenable Nessus أو Qualys VMDR، وحدد نسبة الأنظمة المتأثرة قبل اجتماع لجنة المخاطر القادم.
6. وثّق إجراء التصحيح والمراجعة في سجل الثغرات الخاص بـ CSCC 3.3.5، واحفظ الأدلة استعداداً لأي تدقيق من البنك المركزي.

الخلاصة

Copy Fail تُذكّرنا بأن ثغرات الكيرنل المنطقية القديمة قد تظل كامنة لسنوات قبل أن تتحول فجأة إلى سلاح بسيط بيد أي مستخدم. بالنسبة لبنوك SAMA، السؤال ليس "هل لدينا خوادم متأثرة؟" بل "كم تستغرق دورة التصحيح لدينا، وهل تتوافق مع التزاماتنا التنظيمية؟"

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، ومراجعة استراتيجية إدارة الثغرات لديك.