تخطى إلى المحتوى الرئيسي
شارك

ثغرة DirtyDecrypt تهدد أنظمة لينكس بتصعيد صلاحيات خطير

فريق جلتشمنذ 18 دقيقة0 مشاهدة6 دقائق
شارك
ثغرة DirtyDecrypt تهدد أنظمة لينكس بتصعيد صلاحيات خطير

"ثغرة DirtyDecrypt (CVE-2026-31635) تهدد نواة لينكس بتصعيد الصلاحيات محلياً للجذر. ينشأ الخلل من غياب حماية النسخ عند الكتابة مما يهدد الحاويات والخوادم السحابية."

مقدمة تحليلية

شهد مجتمع أمن المعلومات في الحادي والعشرين من مايو 2026 هزة تقنية جديدة مع الكشف عن رمز استغلال إثبات المفهوم (PoC) لثغرة أمنية بالغة الخطورة في نواة نظام التشغيل لينكس (Linux Kernel). الثغرة التي تحمل الرمز الدولي CVE-2026-31635 والمعروفة باسم DirtyDecrypt (أو DirtyCBC)، تمنح المهاجمين المحليين القدرة على تصعيد الصلاحيات محلياً (LPE) للوصول إلى صلاحيات المستخدم الجذر (root). هذا الكشف المثير للقلق يعيد إلى الواجهة الثغرات الهيكلية في إدارة الذاكرة داخل النواة، ويسلط الضوء على الفجوة الزمنية بين تطوير الرقع الأمنية الرسمية ووصولها الفعلي إلى الأنظمة الإنتاجية.

تم اكتشاف الثغرة والإبلاغ عنها بواسطة الفريق الأمني المشترك من شركتي Zellic وV12 في التاسع من مايو 2026. ومع ذلك، واجه الباحثون مفاجأة عندما أبلغهم مطورو النواة بأن الثغرة تمثل تكراراً لخلل برمجى جرى إصلاحه بالفعل في الفرع الرئيسي للنواة دون إدراك كامل لأبعادها الأمنية الخطيرة في حينها. تكمن الخطورة الفائقة لثغرة DirtyDecrypt في قدرتها على تجاوز آليات العزل الافتراضية للذاكرة، مما يسمح بعمليات كتابة غير مصرح بها تؤثر بشكل مباشر على ملفات النظام الحساسة مثل ملف كلمة المرور المشفرة /etc/shadow وملف الصلاحيات /etc/sudoers.

في هذا التقرير، نقدم تحليلاً عميقاً وشاملاً للأبعاد التقنية والهيكلية لثغرة DirtyDecrypt، وكيف ترتبط بسلسلة من الثغرات المماثلة التي عصفت بأنظمة لينكس مؤخراً، بالإضافة إلى استعراض الحلول المقترحة من قبل مطوري النواة والموزعين لمواجهة هذا التهديد المتنامي الذي يهدد استقرار البنية التحتية السحابية وأنظمة الحاويات البرمجية (Containers) على مستوى العالم.

التحليل التقني

لتفهم آلية عمل ثغرة DirtyDecrypt، يجب أولاً استيعاب كيفية إدارة النواة لصفحات الذاكرة المشتركة. يطبق نظام لينكس آلية تحسين ذكية تُعرف باسم النسخ عند الكتابة (Copy-on-Write أو COW). تتيح هذه الآلية للعمليات المتعددة مشاركة نفس صفحات الذاكرة طالما أنها تقرأ البيانات فقط. ولكن، في اللحظة التي تحاول فيها إحدى العمليات الكتابة على هذه الصفحة المشتركة، تتدخل النواة بشكل تلقائي لإنشاء نسخة خاصة ومنفصلة من تلك الصفحة للعملية الكاتبة، مما يضمن عدم تداخل أو تسرب البيانات المكتوبة إلى ذاكرة العمليات الأخرى أو ذاكرة التخزين المؤقت للملفات (Page Cache).

تكمن المشكلة التقنية في دالة rxgk_decrypt_skb() المسؤولية عن فك تشفير حزم البيانات الواردة في مخزن المقابس المؤقت (socket buffer أو sk_buff) على جانب الاستقبال. تفتقر هذه الدالة تماماً إلى وجود حماية النسخ عند الكتابة (COW guard). عند حدوث عملية فك التشفير، تقوم الدالة بالكتابة مباشرة في صفحات ذاكرة مشتركة مع ذاكرة التخزين المؤقت لعمليات أخرى ذات صلاحيات مرتفعة، أو ذاكرة التخزين المؤقت لملفات نظام محمية ورئيسية. وبسبب غياب آلية التحقق من COW، فإن فك التشفير يقوم بتعديل البيانات المشتركة مباشرة دون عزلها، مما يسمح للمهاجم المحلي بحقن كود خبيث أو تعديل محتويات ملفات النظام الحيوية للحصول على صلاحيات جذرية كاملة.

تشمل التفاصيل الفنية للثغرة والجوانب المرتبطة بها النقاط التالية:

  • دالة rxgk_decrypt_skb: تقع الثغرة تحديداً داخل هذه الدالة البرمجية أثناء معالجة فك تشفير الحزم المستلمة دون تفعيل بروتوكول النسخ عند الكتابة لصفحات الذاكرة المتأثرة.
  • متطلب CONFIG_RXGK: لا تؤثر هذه الثغرة إلا على التوزيعات التي تم تجميع نواتها مع تفعيل خيار الإعداد CONFIG_RXGK. ومن أبرز التوزيعات المتأثرة بشكل افتراضي Fedora وArch Linux وopenSUSE Tumbleweed.
  • الهروب من الحاويات (Container Escape): تشكل الثغرة خطورة قصوى في بيئات الحوسبة السحابية؛ إذ يمكن للمهاجم الذي يسيطر على حاوية برمجية (Pod) استغلال الثغرة للهروب من قيود الحاوية والسيطرة الكاملة على عُقدة العمل (Worker Node) المستضيفة.

ارتبطت هذه الثغرة بسلسلة من الثغرات المكتشفة حديثاً، حيث يُنظر إليها كمتغير لثغرة Copy Fail (CVE-2026-31431) التي كُشف عنها في أبريل 2026، وثغرة Dirty Frag (المعروفة أيضاً باسم Copy Fail 2 والمقترنة بالرمزين CVE-2026-43284 وCVE-2026-43500)، بالإضافة إلى ثغرة Fragnesia (CVE-2026-46300). تشترك جميع هذه الثغرات في فكرة استغلال غياب آليات التحقق من أمان الذاكرة عند معالجة البيانات المتدفقة وكتابتها في ذاكرة التخزين المؤقت للنواة.

السياق وتأثير السوق

يأتي الكشف عن DirtyDecrypt في وقت حرج للغاية بالنسبة لمجتمع أمن المعلومات ومطوري لينكس. فخلال أسابيع قليلة فقط، تلاحقت الإعلانات عن ثغرات تصعيد الصلاحيات المحلية (LPE) المستندة إلى عيوب في صفحة الذاكرة المؤقتة. البداية كانت مع ثغرة Copy Fail في واجهة المقابس التشفيرية AF_ALG التي كشف عنها باحثون في شركة Theori. تلا ذلك ظهور ثغرة Dirty Frag التي وسعت نطاق الاستغلال من خلال تقديم آليات كتابة مزدوجة في ذاكرة التخزين المؤقت، مما أدى في النهاية إلى تسريع وتيرة الأبحاث الهجومية حول هذه فئة من العيوب البرمجية.

وقد أدى هذا التراكم السريع للثغرات المماثلة إلى نشوء ظاهرة تُعرف باسم تسليح الثغرات في اليوم التالي (n-day weaponization). فبمجرد قيام مطوري النواة بدمج الرقع الأمنية في فروع التطوير العامة على منصة GitHub، يقوم الباحثون والمهاجمون على حد سواء بتحليل الفروقات البرمجية (diffs) واستنباط آليات الاستغلال قبل أن تتاح الفرصة لمديري الأنظمة لتحديث خوادمهم. هذا التسابق المحموم يقلص النافذة الزمنية المتاحة للدفاع السيبراني ويضع ضغوطاً غير مسبوقة على كاهل الشركات المزودة للتوزيعات التجارية مثل Red Hat وSUSE وCanonical.

استجابة لهذه الأزمة المتصاعدة، طُرحت حلول ومبادرات مبتكرة في السوق. من جهة أولى، قدم مطور النواة البارز Sasha Levin مقترحاً لإنشاء مفتاح قطع الطوارئ (Emergency Killswitch) داخل النواة. يتيح هذا النظام لمديري الأنظمة إيقاف عمل دوال برمجية محددة في النواة بشكل فوري ودون الحاجة لإعادة تشغيل النظام، كإجراء وقائي مؤقت لحين توفر رقعة برمجية نهائية. من جهة أخرى، قامت توزيعه Rocky Linux بتدشين مستودع أمني اختياري جديد يهدف إلى شحن التحديثات الأمنية العاجلة بشكل أسرع بكثير من المعتاد، مما يعكس تحولاً استراتيجياً في كيفية تعامل الموزعين مع التهديدات الأمنية المباشرة في بيئات العمل الحساسة.

رؤية Glitch4Techs

من منظورنا التحليلي في Glitch4Techs، نرى أن ثغرة DirtyDecrypt وسلسلة الثغرات المرتبطة بها تكشف عن أزمة عميقة في هندسة واجهات النواة الحديثة. إن الرغبة المستمرة في تحسين الأداء وسرعة نقل البيانات عبر الذاكرة دفعت بمطوري النواة إلى تبني آليات معقدة مثل ترحيل الصفحات وتقليل عمليات النسخ بين الذاكرة الخاصة بالمستخدم ومساحة النواة. ومع ذلك، فإن هذا التعقيد المتزايد جعل من الصعب جداً تتبع كافة مسارات البيانات وضمان تفعيل حماية COW بشكل صارم عبر كافة الأنظمة الفرعية للشبكات والتشفير.

نعتقد أن اقتراح مفتاح قطع الطوارئ (Killswitch) للنواة يمثل اعترافاً ضمنياً بأن أسلوب الترقيع التقليدي لم يعد كافياً لمواكبة سرعة المهاجمين. ومع ذلك، فإن تفعيل مثل هذا النظام ينطوي على مخاطر تشغيلية ضخمة؛ إذ يمكن أن يؤدي إيقاف دالة حيوية بطريق الخطأ إلى انهيار كامل للنظام أو إحداث ثغرات أمنية جديدة في آليات التحكم بالوصول. يجب على المؤسسات عدم الاعتماد على هذه الحلول المؤقتة كبديل عن التحديث المستمر والاستغناء التام عن الخيارات غير الضرورية في إعدادات تجميع النواة.

في الختام، نوصي مديري الأنظمة ومسؤولي الأمن السحابي بضرورة التحقق الفوري من إعدادات النواة لديهم والتأكد من تعطيل CONFIG_RXGK في البيئات التي لا تتطلب هذا البروتوكول بشكل أساسي، إلى جانب الإسراع في تطبيق التحديثات الصادرة عن التوزيعات المتأثرة. إن الاستهتار بمثل هذه الثغرات تحت شعار أنها تتطلب وصولاً محلياً هو خطأ فادح في عصر الحوسبة السحابية المتعددة المستأجرين، حيث يمثل تصعيد الصلاحيات الخطوة الأخيرة والحاسمة للمهاجمين لإحكام قبضتهم على البنية التحتية بالكامل.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.