ثغرة Copy Fail في نواة Linux — CVE-2026-31431: صلاحيات Root كاملة بدون كلمة مرور

أضافت وكالة CISA الأمريكية ثغرة CVE-2026-31431 المعروفة باسم "Copy Fail" إلى قائمة الثغرات المستغلة فعلياً (KEV)، بعد رصد حملات هجومية نشطة تستهدف خوادم Linux في بيئات إنتاجية حساسة. الثغرة تمنح أي مستخدم محلي بصلاحيات محدودة وصولاً كاملاً بصلاحيات root — بنسبة نجاح 100% — على أغلب توزيعات Linux الرئيسية.

تفاصيل ثغرة Copy Fail التقنية — CVE-2026-31431

تقع الثغرة في واجهة التشفير algif_aead ضمن نواة Linux، وتحمل تقييم CVSS 7.8 (عالي). آلية الاستغلال تعتمد على عملية كتابة متحكَّم بها بحجم 4 بايت في ذاكرة Page Cache الخاصة بالنواة، مما يؤدي إلى إفساد بيانات حساسة تديرها النواة وتصعيد العملية (Process) إلى UID 0 أي صلاحيات root كاملة. اكتشف الثغرة باحثون في شركتي Theori وXint، وأكدت Kaspersky وجود نسخ عاملة من كود الاستغلال (PoC) بلغات Python وGo وRust منشورة في مستودعات مفتوحة المصدر.

نطاق التأثير: جميع التوزيعات الرئيسية مصابة

الخطورة الاستثنائية لهذه الثغرة تكمن في كونها تعمل بدون أي تعديل على توزيعات متعددة تشمل Ubuntu 24.04 LTS وAmazon Linux 2023 وRHEL 10.1 وSUSE 16. هذا يعني أن كل خادم Linux يشغّل خدمات مصرفية، أو يستضيف قواعد بيانات العملاء، أو يعمل كعقدة في بنية Kubernetes التحتية للمؤسسة — معرّض للاختراق الكامل من أي مستخدم يملك وصولاً محلياً ولو بأدنى الصلاحيات. كما أن الاستغلال لا يتطلب تفاعل المستخدم ولا شروطاً مسبقة معقدة.

حملات الاستغلال النشطة المرصودة

أكدت CISA رصد استغلال فعلي في البيئات الحقيقية، وإن لم تكشف عن هوية المهاجمين أو القطاعات المستهدفة بشكل محدد. لكن طبيعة الثغرة — تصعيد صلاحيات محلي — تجعلها السلاح المثالي كمرحلة ثانية (Post-Exploitation) بعد اختراق أولي عبر تطبيق ويب أو خدمة مكشوفة. سيناريو الهجوم النموذجي: يخترق المهاجم تطبيقاً مصرفياً عبر ثغرة ويب → يحصل على Shell بصلاحيات محدودة → يستغل Copy Fail → يسيطر على الخادم بالكامل ويتحرك أفقياً داخل الشبكة.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد غالبية البنوك وشركات التأمين وشركات التقنية المالية في المملكة على بنية تحتية قائمة على Linux لتشغيل أنظمة Core Banking وبوابات الدفع ومنصات التداول. إطار SAMA CSCC في المجال 3 (Technology Security) والضابط 3-2-4 يلزم المؤسسات بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد. كذلك يتطلب معيار PCI-DSS v4.0 في المتطلب 6.3.3 تصحيح الثغرات الحرجة خلال 30 يوماً. أما NCA ECC في الضابط 2-4-3 فيشترط وجود آلية مؤتمتة لإدارة التصحيحات الأمنية. التأخر في تطبيق التصحيح يعني مخالفة تنظيمية مباشرة قد تترتب عليها عقوبات.

التوصيات والخطوات العملية الفورية

1. تحديث النواة فوراً: طبّق تحديثات الأمان الصادرة من مزود التوزيعة (Ubuntu/RHEL/SUSE/Amazon Linux) على جميع خوادم Linux الإنتاجية. الموعد النهائي الفيدرالي كان 15 مايو 2026 — لا مجال للتأخير.
2. تدقيق صلاحيات الوصول المحلي: راجع قائمة المستخدمين المحليين على كل خادم وأزل أي حسابات غير ضرورية. اعتمد مبدأ الصلاحية الأدنى (Least Privilege) بصرامة.
3. مراقبة استدعاءات النظام المشبوهة: فعّل تسجيل Auditd لمراقبة استدعاءات socket(AF_ALG) وbind() على واجهة algif_aead — أي محاولة وصول غير مألوفة لهذه الواجهة مؤشر اختراق محتمل.
4. عزل الخوادم غير المحدّثة: إذا تعذّر التحديث الفوري لأسباب تشغيلية، اعزل الخادم عن بقية الشبكة وطبّق قواعد SELinux/AppArmor مشددة لتقييد الوصول لواجهات التشفير.
5. مراجعة سجلات الحوادث: ابحث في سجلات SIEM عن أي تصعيد صلاحيات غير مبرر خلال الأسابيع الماضية — خاصة العمليات التي انتقلت من مستخدم عادي إلى root بدون sudo أو su شرعي.
6. تفعيل Kernel Live Patching: إذا كانت بيئتك تدعم KernelCare أو Ksplice أو kpatch، طبّق التصحيح الحي بدون إعادة تشغيل لتقليل وقت التعطل.

الخلاصة

ثغرة Copy Fail ليست مجرد ثغرة تقنية — هي تذكير صارخ بأن نواة نظام التشغيل ذاتها يمكن أن تتحول إلى نقطة دخول كاملة للمهاجم. مع توفر كود استغلال عام يعمل بنسبة 100% على التوزيعات الشائعة، والرصد المؤكد لحملات استغلال نشطة، فإن كل ساعة تأخير في التصحيح تمثل نافذة مفتوحة أمام المهاجمين.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحديد الأنظمة المكشوفة في بيئتكم.