ثغرة Dirty Frag في نواة Linux: تصعيد صلاحيات Root على جميع التوزيعات الرئيسية بأمر واحد

كشف الباحث الأمني Hyunwoo Kim عن ثغرة يوم صفري خطيرة في نواة Linux أُطلق عليها اسم Dirty Frag، تتيح لأي مستخدم محلي الحصول على صلاحيات root الكاملة على جميع التوزيعات الرئيسية بما فيها RHEL وUbuntu وCentOS عبر سلسلة استغلال واحدة. الثغرة موجودة منذ تسع سنوات في الشيفرة المصدرية للنواة، ولم تُصدر لها ترقيعات رسمية حتى الآن.

التفاصيل التقنية لثغرة Dirty Frag — CVE-2026-43284 وCVE-2026-43500

تعمل Dirty Frag عبر تسلسل استغلال يربط بين ثغرتين منفصلتين في نواة Linux. الأولى CVE-2026-43284 تستهدف مكون xfrm-ESP المسؤول عن تشفير حزم IPsec، حيث يسمح خلل في إدارة ذاكرة Page-Cache بالكتابة على صفحات محمية دون صلاحيات. الثانية CVE-2026-43500 تستغل خللاً مماثلاً في بروتوكول RxRPC المستخدم في أنظمة الملفات الموزعة. عند ربط الثغرتين معاً، يستطيع المهاجم تعديل ملفات النظام المحمية مباشرة في الذاكرة — مثل /etc/passwd أو ملفات sudoers — دون أي آلية تحقق، مما يمنحه صلاحيات الجذر الكاملة.

التوزيعات المتأثرة ونطاق الانتشار

تؤثر Dirty Frag على نطاق واسع يشمل Ubuntu بجميع إصداراته المدعومة، وRed Hat Enterprise Linux 8 و9، وCentOS Stream، وAlmaLinux، وopenSUSE Tumbleweed، وFedora. الخلل موجود في واجهة algif_aead للتشفير منذ ما يقارب تسع سنوات، مما يعني أن أي خادم Linux لم يُحدَّث يعمل بنواة ضعيفة. نشر الباحث إثبات مفهوم PoC كامل وعملي بعد كسر طرف ثالث لحظر الإفصاح في 7 مايو 2026، ورصدت Microsoft نشاطاً استغلالياً محدوداً في البرية يستخدم تقنيات تصعيد صلاحيات مرتبطة بهذه الثغرة.

خطورة Dirty Frag مقارنة بثغرات Linux السابقة

تُذكّر Dirty Frag بثغرات تاريخية مثل Dirty Pipe وDirty COW من حيث آلية استغلال Page-Cache، لكنها أخطر لعدة أسباب: أولاً، لا تتطلب شروطاً خاصة أو سباق توقيت Race Condition — مجرد وصول محلي عادي يكفي. ثانياً، تعمل على جميع التوزيعات المؤسسية الكبرى بشكل موحد. ثالثاً، كود الاستغلال PoC متاح علنياً ومستقر، مما يجعل تبنّيه من قبل مجموعات التهديد أمراً حتمياً خلال أيام.

التأثير على المؤسسات المالية السعودية

تعتمد المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي SAMA على خوادم Linux بشكل مكثف لتشغيل أنظمة الدفع والتسوية وقواعد البيانات وحاويات Docker/Kubernetes. يمثل إطار SAMA CSCC في نطاقه الفرعي 3.3.4 (إدارة الثغرات) متطلباً صريحاً بضرورة تطبيق التصحيحات الأمنية الحرجة خلال 72 ساعة من الإفصاح. كذلك يُلزم معيار NCA ECC في ضابطه 2-7-3 بإجراء تقييم فوري لأثر الثغرات الصفرية على الأصول الحرجة. غياب ترقيع رسمي حالياً يضع فرق الأمن أمام تحدٍ يتطلب تطبيق حلول مؤقتة Workarounds وتعزيز المراقبة.

التوصيات والخطوات العملية

1. تطبيق الحلول المؤقتة فوراً: عطّل وحدات algif_aead وaf_rxrpc في النواة عبر إضافتها إلى قائمة الحظر modprobe.d/blacklist.conf على جميع الخوادم التي لا تستخدم IPsec أو AFS.
2. تقييد الوصول المحلي: راجع جميع الحسابات ذات الوصول المحلي إلى خوادم الإنتاج، وأزل أي حساب غير ضروري. طبّق مبدأ أقل الصلاحيات Least Privilege بصرامة.
3. تفعيل مراقبة تصعيد الصلاحيات: أنشئ قواعد SIEM تكشف أي استدعاء لـ su أو sudo من حسابات غير مصرح لها، وراقب تغييرات ملفات /etc/passwd و/etc/shadow و/etc/sudoers.
4. تحديث أدوات EDR: تأكد أن حلول الكشف والاستجابة على النقاط الطرفية محدّثة بتوقيعات Dirty Frag — أصدرت Microsoft Defender وCrowdStrike وSentinelOne قواعد كشف محدّثة.
5. تطبيق التصحيح فور إصداره: تابع نشرات RHEL وCanonical وSUSE الأمنية يومياً، وجهّز خطة ترقيع طارئة وفق نافذة 72 ساعة التي يفرضها SAMA CSCC.
6. مراجعة بنية الحاويات: إذا كنت تستخدم Kubernetes أو Docker، تحقق من أن نواة المضيف Host Kernel ليست عرضة — ثغرة في النواة تعني اختراق جميع الحاويات المستضافة.

الخلاصة

تمثل Dirty Frag تهديداً جدياً لأي مؤسسة تعتمد على Linux في بنيتها التحتية الحرجة. مع توفر كود الاستغلال علنياً وغياب ترقيع رسمي، فإن النافذة الزمنية للاستجابة ضيقة للغاية. المؤسسات المالية السعودية التي تلتزم بضوابط SAMA CSCC وNCA ECC مطالبة بتطبيق الحلول المؤقتة فوراً وتوثيق قراراتها ضمن سجل إدارة المخاطر.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد مدى تعرّض بنيتك التحتية لثغرات تصعيد الصلاحيات.