ثغرة Dirty Frag (CVE-2026-43284): تصعيد صلاحيات root يهدد بنوك SAMA

كشف باحثون أمنيون في 7 مايو 2026 عن ثغرة جديدة وخطيرة في نواة لينكس أُطلق عليها اسم Dirty Frag، تتيح للمهاجمين تصعيد الصلاحيات محلياً إلى مستخدم root على معظم توزيعات لينكس الحديثة. وقد رصدت Microsoft نشاطاً فعلياً لاستغلال هذه الثغرة في البرية، مما يجعلها تهديداً مباشراً لخوادم المؤسسات المالية السعودية الخاضعة لرقابة البنك المركزي SAMA.

ما هي ثغرة Dirty Frag وكيف تعمل؟

ثغرة Dirty Frag ليست ثغرة واحدة بل سلسلة استغلال تجمع بين ثغرتين منفصلتين في النواة. الأولى هي ثغرة xfrm-ESP Page-Cache Write المسجلة تحت المعرّف CVE-2026-43284 وقد تم تصحيحها في الفرع الرئيسي للنواة عبر التغيير f4c50a4034e6. الثانية هي ثغرة RxRPC Page-Cache Write المسجلة تحت CVE-2026-43500، ولا يتوفر لها تصحيح رسمي حتى لحظة كتابة هذا المقال.

عبر تسلسل هاتين الثغرتين، يحصل المهاجم على صلاحية الكتابة 4 بايت في ذاكرة النواة (STORE primitive) من ثغرة xfrm-ESP، ثم على صلاحية إنشاء فضاءات أسماء (namespaces) من ثغرة RxRPC. الجمع بينهما يمنح صلاحيات root كاملة على النظام. الثغرة وُصفت بأنها خليفة لثغرة Copy Fail (CVE-2026-31431) التي أُضيفت قبل أيام إلى كتالوج CISA للثغرات المستغلة فعلياً.

متطلبات الاستغلال والمخاطر العملية

يتطلب الاستغلال الأولي صلاحية CAP_NET_ADMIN على النظام، وهو أمر يُفترض أنه يقلل من فرص النجاح في البيئات الحاوية المُحصّنة (مثل Kubernetes مع profiles seccomp الافتراضية). ومع ذلك، رصدت Microsoft هجوماً نموذجياً يبدأ بالحصول على وصول SSH عبر اتصال خارجي، يلي ذلك تحميل وتنفيذ ملف ELF ثنائي يطلق فوراً عملية تصعيد الصلاحيات عبر أمر su.

الأخطر أن الثغرة في بيئات الحاويات التي تنفذ أحمال عمل من أطراف ثالثة قد تتيح كذلك الهروب من الحاوية (container escape)، مما يحوّل اختراقاً بسيطاً لتطبيق ويب إلى سيطرة كاملة على الـ host العامل عليه. هذا السيناريو حرج بشكل خاص للبنوك التي تشغّل مكدّسات الخدمات المصرفية الإلكترونية على بنية تحتية سحابية متعددة المستأجرين.

التأثير على المؤسسات المالية السعودية

الغالبية العظمى من البنية التحتية المصرفية في المملكة تعمل على توزيعات لينكس مثل Red Hat Enterprise Linux وOracle Linux وUbuntu Server، سواء على خوادم core banking أو منصات التداول أو أنظمة معالجة المدفوعات. وفقاً لإطار SAMA Cyber Security Framework v1.0، تحديداً ضوابط 3.3.5 Vulnerability Management و3.3.7 Patch Management، يُلزم البنك المركزي المؤسسات الخاضعة لرقابته بمعالجة الثغرات الحرجة خلال إطار زمني محدد بناءً على درجة الخطورة.

كذلك يفرض ضابط 3.3.13 Cryptography ضمن SAMA CSCC تشغيل خدمات IPsec/xfrm بأعلى معايير الحماية، وهو ما تستهدفه ثغرة xfrm-ESP مباشرة. وعلى صعيد الإطار الوطني NCA ECC، فإن ضوابط 2-10 Vulnerability Management و2-12 Event Logs and Monitoring Management تتطلب اكتشاف وتسجيل أي محاولة استغلال محلي على الخوادم الإنتاجية.

التوصيات والخطوات العملية للحماية الفورية

1. تطبيق التصحيحات فور صدورها: تابع نشرات الأمان من Red Hat (RHSB-2026-003) وUbuntu وOracle Linux وSUSE، وطبّق تصحيح CVE-2026-43284 خلال 72 ساعة من إصداره وفق متطلبات SAMA للثغرات الحرجة.
2. إجراء مسح شامل لقدرات CAP_NET_ADMIN: راجع جميع الحاويات والعمليات التي تملك هذه الصلاحية وقلّصها إلى الحد الأدنى الضروري. استخدم أدوات مثل Falco أو Sysdig لرصد إساءة الاستخدام.
3. تفعيل seccomp وAppArmor/SELinux: تأكد من تطبيق ملفات seccomp المقيّدة على جميع حاويات Kubernetes، مع منع استدعاءات unshare وnamespace creation للحاويات غير الموثوقة.
4. تعزيز مراقبة SIEM: أضف قواعد كشف لاستخدام أمر su غير المتوقع، وتنفيذ ملفات ELF من مسارات مؤقتة مثل /tmp و/dev/shm، وأي محاولة لإنشاء network namespaces جديدة من حسابات غير مميزة.
5. تقييد الوصول SSH: طبّق المصادقة متعددة العوامل (MFA) على جميع جلسات SSH للخوادم الإنتاجية، واعتمد قوائم IP موثوقة فقط، مع استخدام bastion hosts مركزية لكل وصول إداري.
6. إجراء تقييم ثغرات شامل: نفّذ مسحاً موجّهاً للنواة باستخدام أدوات مثل Linux Exploit Suggester أو kernelpop لتحديد الأنظمة المعرّضة، وأنتج تقريراً للجنة المخاطر.
7. عزل الخوادم الحرجة: ضع خوادم core banking وخوادم HSM ومعالجة بطاقات PCI-DSS في شبكات معزولة، مع التحكم الصارم في حركة المرور الجانبية (east-west traffic).

الخلاصة

تمثل ثغرة Dirty Frag تذكيراً قوياً بأن نواة لينكس — رغم نضجها ومتانتها — تظل سطح هجوم نشطاً يستهدفه القراصنة بشكل مستمر. الفجوة الزمنية بين الاكتشاف العام للثغرة في 7 مايو وتوفر تصحيح كامل لـ CVE-2026-43500 تخلق نافذة استغلال ضيقة لكن خطيرة. على CISOs ومسؤولي الامتثال في القطاع المالي السعودي التعامل مع هذه الثغرة ضمن إطار إدارة المخاطر السيبرانية وفق متطلبات SAMA دون تأخير، خاصة أن الاستغلال الفعلي مرصود في البرية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، مع مراجعة شاملة لخوادم لينكس الإنتاجية وقياس الجاهزية ضد ثغرات تصعيد الصلاحيات في النواة.