ثغرة DirtyDecrypt في نواة Linux: تصعيد صلاحيات إلى root يهدد خوادم المؤسسات المالية

كشف فريق V12 الأمني في التاسع من مايو 2026 عن ثغرة خطيرة في نواة Linux أُطلق عليها اسم DirtyDecrypt (المعروفة أيضاً بـ DirtyCBC)، وهي ثغرة تصعيد صلاحيات محلية (LPE) في وحدة rxgk تتيح للمهاجم الحصول على صلاحيات root الكاملة. الأخطر من ذلك أن كود استغلال علني (PoC) أصبح متاحاً، مما يجعل كل خادم Linux غير محدّث هدفاً مباشراً — بما في ذلك خوادم التطبيقات المصرفية ومنصات التداول في المملكة العربية السعودية.

التفاصيل التقنية لثغرة DirtyDecrypt CVE-2026-31635

تكمن الثغرة في دالة rxgk_decrypt_skb داخل وحدة rxgk في نواة Linux، حيث يغيب حارس النسخ عند الكتابة (Copy-on-Write Guard) المطلوب عند فك تشفير حزم الشبكة. هذا الغياب يسمح للمهاجم المحلي بالكتابة على مناطق ذاكرة مشتركة في النواة، مما يفتح الباب لتصعيد الصلاحيات من مستخدم عادي إلى root دون أي تفاعل من المستخدم الضحية. الثغرة تؤثر على الأنظمة التي تعمل بتكوين CONFIG_RXGK مفعّل، وتشمل التوزيعات التي تتبع أحدث إصدارات النواة مثل Fedora وArch Linux وopenSUSE Tumbleweed، إضافة إلى خوادم المؤسسات التي تستخدم نواة مخصصة مع هذه الوحدة.

موجة ثغرات تصعيد الصلاحيات: ليست حادثة معزولة

DirtyDecrypt ليست ثغرة فردية بل جزء من موجة متسارعة من ثغرات تصعيد الصلاحيات في نواة Linux خلال مايو 2026. سبقتها ثغرة Dirty Frag (CVE-2026-43284) التي استغلت خللاً في معالجة حزم ESP وRxRPC للحصول على صلاحيات root، وأكدت Microsoft في مدونتها الأمنية رصد استغلال نشط لها في هجمات حقيقية. ثم ظهرت ثغرة Fragnesia (CVE-2026-46300) التي نتجت عن خطأ في التصحيح الأمني لـ Dirty Frag نفسها، مما يعني أن المؤسسات التي طبّقت التحديث الأول بقيت معرضة لثغرة جديدة. هذا التتابع يكشف هشاشة مكونات الشبكات في نواة Linux ويؤكد أن الترقيع المنفرد لم يعد كافياً — بل يجب اعتماد استراتيجية ترقيع مستمرة ومراقبة نشطة.

لماذا تهمّ هذه الثغرة المؤسسات المالية السعودية تحديداً؟

تعتمد غالبية البنوك وشركات التأمين وشركات التقنية المالية في المملكة على خوادم Linux لتشغيل التطبيقات المصرفية الأساسية (Core Banking)، ومنصات التداول الإلكتروني، وقواعد البيانات، وأنظمة الدفع المتوافقة مع PCI-DSS. ثغرة تصعيد صلاحيات محلية تعني أن أي مهاجم نجح في الوصول الأولي — حتى بحساب محدود الصلاحيات عبر تصيد أو ثغرة تطبيق ويب — يستطيع السيطرة الكاملة على الخادم خلال ثوانٍ. إطار عمل SAMA CSCC في نطاق إدارة الثغرات (Vulnerability Management) والنطاق الفرعي 3.3.4 يُلزم المؤسسات المالية بتطبيق التصحيحات الأمنية الحرجة خلال إطار زمني محدد، كما يتطلب إطار NCA ECC في الضابط 2-5-1 وجود عملية موثقة لإدارة التصحيحات تشمل اختبار التحديثات قبل النشر على بيئات الإنتاج. التأخر في معالجة هذه الثغرة قد يُعتبر مخالفة تنظيمية مباشرة.

سيناريو الاستغلال في بيئة مصرفية

تخيّل أن مهاجماً أرسل رسالة تصيد احترافية لموظف في قسم العمليات بأحد البنوك السعودية، ونجح في زرع web shell على خادم تطبيق داخلي بصلاحيات مستخدم محدود. في السابق، كان المهاجم سيحتاج أسابيع من الحركة الجانبية (Lateral Movement) للوصول لصلاحيات أعلى. الآن، مع توفر استغلال DirtyDecrypt العلني، يستطيع تصعيد صلاحياته إلى root خلال ثوانٍ معدودة، ثم الوصول لقواعد بيانات العملاء أو التلاعب بسجلات المعاملات أو تعطيل أنظمة المراقبة الأمنية. هذا السيناريو ليس نظرياً — Microsoft أكدت رصد استغلال نشط لثغرة Dirty Frag من نفس العائلة في هجمات حقيقية على بيئات إنتاجية.

التوصيات والخطوات العملية

1. تحديث النواة فوراً: طبّق آخر تحديثات نواة Linux على جميع الخوادم. التصحيح الرسمي لـ CVE-2026-31635 متوفر منذ 25 أبريل 2026 — أي تأخير يعني تعرضاً مفتوحاً لاستغلال علني متاح.
2. تعطيل وحدة rxgk مؤقتاً: إن لم يكن التحديث الفوري ممكناً، عطّل وحدة rxgk بتنفيذ modprobe -r rxgk على الخوادم التي لا تستخدم بروتوكول AFS. تنبّه أن هذا سيؤثر على اتصالات IPsec VPN وأنظمة الملفات الموزعة AFS.
3. جرد الأصول المتأثرة: حدد جميع خوادم Linux في بيئتك التي تعمل بنواة تدعم CONFIG_RXGK، وأعطِ الأولوية لخوادم قواعد البيانات والتطبيقات المصرفية الحرجة.
4. مراقبة محاولات التصعيد: فعّل قواعد كشف في SIEM وEDR لرصد محاولات تصعيد الصلاحيات غير المعتادة، خاصة الانتقال المفاجئ من مستخدم عادي إلى root على خوادم الإنتاج.
5. مراجعة الصلاحيات المحلية: طبّق مبدأ الحد الأدنى من الصلاحيات (Least Privilege) وتأكد أن الحسابات الخدمية لا تملك صلاحيات غير ضرورية قد تُستغل كنقطة انطلاق.
6. اختبار اختراق دوري: أدرج سيناريوهات تصعيد الصلاحيات في نطاق اختبارات الاختراق الدورية وفق متطلبات SAMA CSCC لضمان فعالية الضوابط الوقائية.

الخلاصة

موجة ثغرات تصعيد الصلاحيات في نواة Linux — من Dirty Frag إلى Fragnesia وصولاً إلى DirtyDecrypt — تؤكد أن أمن الخوادم لا يتحقق بتثبيت النظام ونسيانه. المؤسسات المالية السعودية التي تشغّل بنيتها التحتية الحرجة على Linux تحتاج لعملية ترقيع مستمرة ومراقبة نشطة لسلوك النواة، وليس فقط التطبيقات العلوية. كل يوم تأخير في تطبيق التصحيح هو يوم إضافي تكون فيه أنظمتك مكشوفة لاستغلال علني متاح للجميع.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة عمليات إدارة الثغرات والترقيع على خوادم Linux.