CVE-2026-31431 "Copy Fail": ثغرة Linux صفرية تهدد بنوك SAMA السحابية

أعلنت كل من Microsoft وWiz وRed Hat في الأول من مايو 2026 عن ثغرة حرجة في نواة Linux أُطلق عليها اسم "Copy Fail" برمز CVE-2026-31431، ودرجة CVSS 7.8. الثغرة تمنح أي مستخدم محلي صلاحيات root كاملة عبر سكربت Python لا يتجاوز 732 بايت، وقد أضافتها CISA إلى كتالوج KEV بعد رصد استغلال نشط في البرية. هذا الإعلان يضع كل بنك سعودي يعتمد على Linux أو Kubernetes في موقف يستوجب تحركاً فورياً وفق متطلبات SAMA CSCC.

تشريح ثغرة Copy Fail في نواة Linux

الثغرة عبارة عن خلل منطقي في قالب التشفير authenc داخل النظام الفرعي للتشفير في نواة Linux. تتيح الثغرة لمستخدم غير مميز تنفيذ كتابة مُحكمة بحجم 4 بايت داخل ذاكرة page cache لأي ملف قابل للقراءة على النظام، دون تعديل الملف على القرص فعلياً. هذه السمة الأخيرة تجعل أدوات التحقق من سلامة الملفات (File Integrity Monitoring) عاجزة عن اكتشاف الاستغلال، وهو ما يضرب جوهر متطلبات الرصد في SAMA CSCC الفصل 3.3.5.

الأخطر أن الثغرة تطال كل توزيعات Linux التي تعتمد على نواة صدرت بين عامي 2017 و2026، بما في ذلك Ubuntu 24.04 LTS، وAmazon Linux 2023، وRed Hat Enterprise Linux 10.1، وSUSE 16، وDebian، وFedora. أي عبء عمل سحابي تشغّله البنوك السعودية على AWS أو Oracle Cloud أو STC Cloud معرّض ما لم يُحدَّث.

لماذا تتضاعف خطورة الثغرة في بيئات Kubernetes؟

أكدت Wiz في تحليلها أن Copy Fail تتيح ما يُعرف بـ Container Breakout — أي كسر العزل بين الحاويات والوصول إلى المضيف. في بيئات multi-tenant التي تستخدمها البنوك لتشغيل خدمات الدفع وKYC وذكاء اصطناعي توليدي، يعني هذا أن مهاجماً يخترق حاوية واحدة منخفضة الامتياز قد يحصل على root للعقدة بكاملها، ثم يتحرك جانبياً عبر مجموعة Kubernetes.

السيناريو الأشد إلحاحاً يخص خطوط CI/CD: مهاجم يضع حمولة في pull request على GitLab أو Jenkins، يُشغَّل البناء على عقدة Linux مشتركة، فيستغل Copy Fail خلال ثوانٍ ويطّلع على مفاتيح Vault وأسرار الإنتاج. هذا النمط الهجومي وثيق الصلة بحادثة Marquis التي غطّيناها مؤخراً.

التأثير على المؤسسات المالية الخاضعة لـ SAMA

تشغّل غالبية البنوك السعودية اليوم بنية تحتية هجينة تجمع بين مراكز البيانات المحلية والخدمات السحابية. ينعكس ذلك مباشرة على عدة بنود في إطار SAMA CSCC:

• 3.3.6 إدارة الثغرات: يتطلب الإطار معالجة الثغرات الحرجة المعلَنة من CISA KEV خلال نوافذ زمنية محددة. Copy Fail تدخل ضمن هذه الفئة.
• 3.3.14 أمن الحاويات والسحابة: Container Breakout يعد انتهاكاً مباشراً لمبدأ الفصل المنطقي بين أعباء العمل.
• 3.3.10 إدارة الهويات والصلاحيات: الحصول على root خفية يُلغي ضوابط Privileged Access Management.
• متطلبات NCA ECC 2-7-1-3: تتطلب تطبيق التحديثات الأمنية الحرجة في غضون فترة لا تتجاوز 14 يوماً للأنظمة الإنتاجية.

كذلك فإن نظام حماية البيانات الشخصية (PDPL) يُحمّل البنك مسؤولية الإخطار خلال 72 ساعة في حال أي اختراق يمس بيانات العملاء — وهجوم ناجح عبر Copy Fail قد يصل إلى قواعد بيانات الـ Core Banking مباشرة.

التوصيات والخطوات العملية الفورية

1. التحديث الفوري: رقّ نواة Linux إلى الإصدارات المُصلَّحة 6.18.22 أو 6.19.12 أو 7.0 على جميع الأنظمة الإنتاجية وعقد Kubernetes خلال 72 ساعة.
2. جرد الأنظمة: استخدم أدوات مثل Wazuh أو Tenable لرصد كل النوى المتأثرة عبر بيئتك، بما في ذلك صور Docker الأساسية في سجلاتك الخاصة.
3. تشديد عزل الحاويات: فعِّل seccomp profiles وAppArmor، وامنع تشغيل الحاويات بصلاحيات privileged أو ضمن user namespace المضيف.
4. رصد الاستغلال: راقب استدعاءات syscalls المرتبطة بـ setsockopt وAF_ALG عبر eBPF أو Falco، فهي البصمة الأبرز للهجوم.
5. تدوير الأسرار: دوّر مفاتيح Vault وأي شهادات mTLS مُخزّنة على عُقد Kubernetes كإجراء احترازي.
6. اختبار الاختراق: اطلب من فريق الـ Red Team محاكاة سيناريو Copy Fail على بيئة UAT للتحقق من فاعلية ضوابط الكشف.
7. التواصل مع SAMA: وثّق إجراءاتك في سجل الحوادث، وكن مستعداً لإثبات الامتثال خلال أي تدقيق قادم من البنك المركزي.

الخلاصة

Copy Fail ليست مجرد ثغرة Linux أخرى، بل هي تذكير صارخ بأن سطح الهجوم في البنوك السعودية الحديثة يمتد من مراكز البيانات المحلية إلى كل عقدة Kubernetes في السحابة. سرعة التحديث، قوة العزل، ودقة الرصد هي الفارق بين بنك يجتاز تدقيق SAMA وآخر يدفع غرامات تنظيمية ويفقد ثقة عملائه.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة سريعة لجاهزية بيئتك السحابية وحاوياتك في مواجهة ثغرات تصعيد الصلاحيات.