ثغرة Dirty Frag في نواة Linux: سلسلة استغلال تمنح Root عبر IPsec وRxRPC

في السابع من مايو 2026، كشف باحثون أمنيون عن ثغرتين متسلسلتين في نواة Linux أُطلق عليهما اسم Dirty Frag، تستهدفان وحدتي esp4/esp6 (IPsec) وrxrpc (بروتوكول RxRPC). عند ربط الثغرتين معاً، يحصل أي مستخدم محلي على صلاحيات Root كاملة بنسبة نجاح عالية جداً دون التسبب بانهيار النواة — مما يجعلها من أخطر ثغرات تصعيد الصلاحيات التي ظهرت هذا العام.

التفاصيل التقنية لثغرتي Dirty Frag

تتألف Dirty Frag من استغلال متسلسل لثغرتين منفصلتين. الأولى CVE-2026-43284 تقع في وحدات xfrm-ESP المسؤولة عن تشفير حركة IPsec (بروتوكولات esp4 وesp6)، وتتيح عملية كتابة بحجم 4 بايت في ذاكرة Page-Cache (ما يُعرف بـ STORE primitive). الثانية CVE-2026-43500 تقع في وحدة RxRPC التي تدعم نظام الملفات الموزع AFS، وتمنح المهاجم القدرة على إنشاء namespace جديد والتحكم في مسار التنفيذ.

وصف الباحث الأمني الذي اكتشف الثغرة بأنها خطأ منطقي حتمي (deterministic logic bug): النواة لا تنهار عند محاولة الاستغلال الفاشلة، مما يسمح بإعادة المحاولة دون أي أثر ملحوظ — وهذا يرفع نسبة النجاح إلى مستويات مقلقة.

نطاق الإصابة: تسع سنوات من الأنوية المعرضة

ثغرة CVE-2026-43284 موجودة في أنوية Linux منذ يناير 2017، مما يعني أن كل إصدار من التوزيعات الرئيسية — Red Hat Enterprise Linux وUbuntu وDebian وAlmaLinux وCloudLinux — يحمل هذه الثغرة منذ نحو تسع سنوات. أما CVE-2026-43500 فتغطي نطاقاً أضيق بدءاً من يونيو 2023 عندما أُضيف مسار الكود المصاب في وحدة RxRPC.

أصدرت منظمة Linux Kernel Organization تصحيحات لثغرة CVE-2026-43284، لكن تصحيحات CVE-2026-43500 لم تُتَح بالكامل بعد حتى تاريخ كتابة هذا المقال. أكدت Microsoft في تقريرها الصادر في 8 مايو رصد استغلال نشط في بيئات إنتاجية، مما يرفع مستوى الخطورة من نظري إلى فعلي.

لماذا تشكل Dirty Frag تهديداً خاصاً للمؤسسات المالية السعودية؟

تعتمد البنية التحتية للبنوك وشركات التأمين وشركات التقنية المالية في المملكة العربية السعودية اعتماداً كبيراً على خوادم Linux لتشغيل أنظمة الدفع الإلكتروني وقواعد البيانات وبوابات API وأنظمة المراقبة الأمنية (SOC/SIEM). كما تستخدم بروتوكولات IPsec على نطاق واسع في أنفاق VPN بين الفروع ومراكز البيانات. استغلال Dirty Frag يعني أن أي مستخدم يملك وصولاً محلياً — حتى بصلاحيات محدودة — يستطيع السيطرة الكاملة على الخادم.

إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق تصحيحات الثغرات الحرجة خلال إطار زمني محدد، كما يتطلب إطار NCA ECC وجود برنامج إدارة ثغرات فعّال يشمل مراقبة مستمرة وتصعيد فوري للثغرات المستغلة نشطاً. ثغرة بهذا المستوى من الخطورة تستوجب تصعيداً فورياً إلى فريق CISO.

إجراءات التخفيف والتصحيح الفوري

1. تحديث النواة فوراً: طبّق آخر تصحيحات النواة المتاحة من توزيعتك. إذا كنت تستخدم RHEL، راجع نشرة RHSB-2026-003 التي تغطي كلا الثغرتين مع تعليمات التصحيح المحددة.
2. تعطيل الوحدات المصابة مؤقتاً: إذا لم يكن التحديث الفوري ممكناً، عطّل وحدات esp4 وesp6 وrxrpc عبر الأمر modprobe -r مع إضافتها إلى قائمة الحظر في /etc/modprobe.d/. تنبيه: تعطيل esp4/esp6 سيؤثر على أنفاق IPsec VPN.
3. مسح ذاكرة Page-Cache: نفّذ echo 1 > /proc/sys/vm/drop_caches بعد تطبيق التصحيح لضمان تنظيف أي آثار استغلال محتملة في الذاكرة المؤقتة.
4. مراجعة سجلات الوصول: افحص سجلات auditd بحثاً عن أي تصعيد صلاحيات غير مبرر أو إنشاء namespace غير متوقع خلال الأسبوعين الماضيين، فالثغرة مستغلة نشطاً منذ الكشف عنها.
5. تحديث قواعد كشف التسلل: أضف توقيعات Dirty Frag إلى أنظمة IDS/IPS وحلول EDR لديك. نشرت كل من Microsoft وTenable وSOC Prime مؤشرات اختراق (IoCs) وقواعد كشف محدثة.
6. إبلاغ فريق الامتثال: وثّق الثغرة وإجراءات المعالجة في سجل إدارة الثغرات الخاص بكم وفق متطلبات SAMA CSCC القسم 3.3.4 (إدارة التصحيحات والثغرات).

الخلاصة

ثغرة Dirty Frag ليست مجرد ثغرة تصعيد صلاحيات عادية — إنها سلسلة استغلال حتمية بنسبة نجاح عالية تستهدف مكونات أساسية في نواة Linux موجودة منذ سنوات. الجمع بين الاستغلال النشط المؤكد وعدم توفر تصحيح كامل لإحدى الثغرتين يجعل هذا التهديد يستوجب اهتماماً فورياً من كل فريق أمن سيبراني في القطاع المالي السعودي.

هل خوادم Linux في مؤسستك محصنة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لثغرات البنية التحتية.