ثغرة Dirty Frag (CVE-2026-43284): تصعيد صلاحيات root يهدد خوادم بنوك SAMA

في السابع من مايو 2026، كُسر حظر الإفصاح المتفق عليه عن سلسلة ثغرات Dirty Frag في نواة Linux بعد أن نشر طرف ثالث استغلالاً عملياً (PoC) قبل الموعد المحدد. النتيجة: أي مستخدم محلي غير مميز على معظم توزيعات Linux قادر اليوم على الحصول على صلاحيات root بأمر واحد، وهو ما يضع خوادم الأنظمة المصرفية الأساسية في بنوك SAMA أمام مخاطر تشغيلية مباشرة تتطلب تحركاً خلال ساعات لا أيام.

ما هي ثغرة Dirty Frag وكيف تعمل تقنياً

Dirty Frag ليست ثغرة واحدة بل سلسلة استغلال تجمع بين خطأين منفصلين في نواة Linux، لكل منهما معرف CVE خاص بدرجة خطورة 7.8 وفق CVSS v3.1. الأول هو CVE-2026-43284 ويصيب مسار فك التشفير الداخلي لبروتوكولي esp4 و esp6 المستخدمين في IPsec ESP، والثاني هو CVE-2026-43500 ويصيب بروتوكول rxrpc المستخدم في استدعاءات الإجراءات البعيدة على بيئات Andrew File System.

يكمن جوهر الخلل في أن مسار الاستقبال يقوم بفك التشفير في الموقع (in-place decryption) فوق مخازن صفحية (paged buffers) ليست مملوكة حصرياً للنواة. هذا يسمح لعمليات غير مميزة بالاحتفاظ بمراجع إلى النص الصريح الناتج، فيتحول الخلل إلى قدرة كتابة (write primitive) داخل الـ page cache. وقد أثبت الـ PoC المنشور علناً أن هذه القدرة كافية للحصول على صلاحيات root في خطوة واحدة دون الحاجة إلى أي تفاعل من المستخدم.

حالة الترقيع والتوزيعات المتأثرة

وفق ما أكدته كل من Qualys و Tenable و Microsoft Threat Intelligence، فإن التصحيح الخاص بمكون ESP تم دمجه في شجرة netdev الرئيسية بتاريخ 7 مايو 2026، بينما لا يزال التصحيح الخاص بمكون RxRPC قيد المراجعة في القائمة البريدية lkml. هذا يعني أن أي نظام Linux يستخدم نواة قبل 6.15.2 معرض جزئياً على الأقل، وأن النوى الأقدم من 5.15 معرضة بالكامل لكلا الـ CVE.

التوزيعات المتأثرة تشمل Red Hat Enterprise Linux 8 و 9، AlmaLinux، Rocky Linux، CloudLinux، Ubuntu 20.04 LTS و 22.04 LTS و 24.04 LTS، Debian 11 و 12، إضافة إلى SUSE Linux Enterprise Server. وقد أصدرت AlmaLinux و CloudLinux تصحيحات جزئية، فيما تنتظر بقية التوزيعات استقرار التصحيح في الشجرة الرئيسية. هيئة CISA أضافت CVE-2026-43284 إلى كتالوج KEV ومنحت الوكالات الفيدرالية مهلة حتى 22 مايو 2026 للترقيع.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA

غالبية أنظمة البنوك السعودية الأساسية — من خوادم Core Banking مثل Temenos T24 و Finacle، إلى منصات SWIFT Alliance، وأنظمة كشف الاحتيال، وبيئات Kubernetes التي تستضيف الخدمات الرقمية — تعمل على نوى Linux. وبما أن Dirty Frag تتطلب وجوداً محلياً مسبقاً (Local Privilege Escalation)، فإن الخطر الحقيقي يظهر عندما تُستخدم كحلقة ثانية في سلسلة هجوم تبدأ بثغرة وصول أولي مثل CVE-2026-0300 في Palo Alto PAN-OS، أو عبر حساب موظف داخلي أو مقاول.

من منظور إطار SAMA Cyber Security Framework (CSCC 1.0)، تمس هذه الثغرة مباشرة الضوابط 3.3.1 (إدارة الثغرات) و 3.3.5 (إدارة التحديثات) و 3.4.2 (تأمين الخوادم) و 4.1.3 (مراقبة الأمان). كما أن الفشل في الترقيع خلال الإطار الزمني المناسب قد يُصنَّف كحدث تشغيلي يستوجب الإبلاغ وفق متطلبات SAMA الخاصة بإبلاغ الحوادث خلال 4 ساعات. أما على صعيد NCA ECC-2:2024، فإن الضوابط 2-3-3-1 و 2-10-3-1 تفرض ترقيع الثغرات الحرجة المُستغَلة فعلياً خلال 72 ساعة من توفر التصحيح.

التوصيات والخطوات العملية الفورية

1. الجرد الفوري: استخدم Qualys VMDR أو Tenable Nessus أو أداة مفتوحة المصدر مثل Lynis لتحديد جميع الخوادم التي تشغّل نواة Linux أقدم من 6.15.2، مع تصنيفها حسب الحساسية (PCI-DSS scope، SWIFT secure zone، أنظمة جوهرية).
2. الترقيع الموجّه: طبّق تصحيح CVE-2026-43284 على جميع الأنظمة المتأثرة خلال 72 ساعة كحد أقصى، مع إعطاء الأولوية للخوادم المعرضة لمستخدمين متعددين أو لحركة شبكية خارجية.
3. التخفيف المؤقت لـ RxRPC: في غياب التصحيح الرسمي، عطّل وحدة kafs وقم بإدراج rxrpc في القائمة السوداء عبر /etc/modprobe.d/blacklist-rxrpc.conf ثم نفّذ update-initramfs -u وأعد التشغيل.
4. الرقابة السلوكية: ضبط قواعد كشف في SIEM (Splunk، QRadar، Microsoft Sentinel) ترصد محاولات تحميل وحدات esp4/esp6/rxrpc من سياق غير معتاد، واستدعاءات setuid مفاجئة من عمليات خدمية.
5. تقييد المستخدمين المحليين: تطبيق سياسات AppArmor أو SELinux صارمة على حسابات الخدمة، وإلزامية MFA لكل وصول SSH تفاعلي وفق ضابط SAMA CSCC 3.3.14.
6. التحقق من سلسلة الإمداد: مراجعة صور الحاويات (Docker/Podman) في سجلات Harbor أو ECR، لأن الحاويات ترث نواة المضيف وقد تكون نقطة دخول.
7. الإبلاغ التنظيمي: توثيق التقييم والمعالجة ضمن سجل المخاطر التشغيلية، وتجهيز نموذج إبلاغ SAMA إن تأكد استغلال داخل بيئة الإنتاج.

الخلاصة

تكشف Dirty Frag مرة أخرى عن هشاشة افتراض أن طبقات نواة Linux منخفضة المستوى محمية بطبيعتها. النشر المبكر للـ PoC، الغياب الجزئي للتصحيح، والاعتماد الكثيف للقطاع المصرفي السعودي على Linux، كلها عوامل تجعل من هذه الثغرة اختباراً حقيقياً لقدرة فرق العمليات الأمنية (SOC) وفرق إدارة الثغرات (VM) على التحرك بسرعة ودون انتظار توجيه تنظيمي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق متطلبات SAMA CSCC، وخطة عمل مخصصة لمعالجة ثغرات تصعيد الصلاحيات في بيئتك التشغيلية.