ثغرة pedit COW جديدة تمنح صلاحيات الجذر في لينكس بتسميم الذاكرة المؤقتة

مقدمة تحليلية

في تطور أمني حرج، تم الكشف عن استغلال جديد ومُعلن لنواة Linux يحمل الاسم الرمزي "pedit COW"، والذي يُرمز إليه بـ CVE-2026-46331. تسمح هذه الثغرة لمستخدم محلي غير مميز بالحصول على صلاحيات الجذر (root access) على الأنظمة المتأثرة. وقد ظهر استغلال عملي (public, working exploit) لهذه الثغرة في غضون يوم واحد فقط من تحديد CVE في 16 يونيو 2026، مما يؤكد على خطورتها والسرعة التي يمكن بها استغلالها في العالم الحقيقي.

تكمن خصوصية هذا الاستغلال في طريقته الخفية؛ فهو لا يقوم بتعديل الملفات الموجودة على القرص بشكل مباشر. بدلاً من ذلك، يقوم بتسميم النسخة المخزنة مؤقتاً (cached copy) من ثنائي حساس بصلاحيات الجذر، مثل `/bin/su`، في الذاكرة. بعد حقن حمولة صغيرة (payload) في هذه النسخة المخزنة مؤقتاً، يمكن للمهاجم تشغيل الصورة المعدلة كـ `root`، بينما تظل فحوصات سلامة الملفات (file-integrity checks) نظيفة، مما يجعل اكتشاف الهجوم صعباً باستخدام الأدوات التقليدية.

صنفت Red Hat هذه الثغرة بأنها "مهمة" (important)، مما يسلط الضوء على نطاق تأثيرها المحتمل على مجموعة واسعة من بيئات الخوادم والأنظمة التي تعتمد على Linux. يتطلب الاستغلال شرطين أساسيين للعمل: أن تكون وظيفة `act_pedit` قابلة للتحميل وأن تكون مساحات أسماء المستخدمين غير المميزة (unprivileged user namespaces) مفتوحة. وقد وُجد أن كلا الشرطين متوفران افتراضياً على أنظمة RHEL و Debian التي تم اختبارها، مما يزيد من مدى تعرض هذه الأنظمة للخطر.

التحليل التقني

تتعلق هذه الثغرة العميقة بآلية `tc traffic-control` في Linux، وتحديداً في وظيفة `pedit` المسؤولة عن إعادة كتابة رؤوس الحزم (packet headers) أثناء النقل. الوظيفة المعنية هي `tcf_pedit_act()`، والتي من المفترض أن تقوم بإنشاء نسخة خاصة من البيانات قبل تعديلها، وهو ما يُعرف بنمط "النسخ عند الكتابة" (copy-on-write - COW) القياسي. إلا أن الخلل يكمن في طريقة التحقق من النطاق القابل للكتابة؛ حيث يتم التحقق مرة واحدة قبل معرفة الإزاحات النهائية (final offsets). عندما تُحل بعض مفاتيح التعديل `edit keys` إزاحاتها في وقت التشغيل فقط، تهبط الكتابة خارج المنطقة الخاصة المنسوخة.

هذا يؤدي إلى قيام النواة بتعديل صفحة ذاكرة مخزنة مؤقتاً (shared page-cache page) بدلاً من النسخة الخاصة. إذا كانت هذه الصفحة تنتمي إلى ملف مخزن مؤقتاً، فإن الصورة الموجودة في الذاكرة (in-memory image) لهذا الملف تتلف. هذا النمط من الثغرات ليس جديداً في نواة Linux، ويشترك في طبيعته مع ثغرات سابقة مثل:

• Dirty Pipe: استغلال لتعطل في نظام أنابيب Linux.
• Copy Fail: ثغرة تتعلق بنسخ البيانات وفشل الحماية.
• DirtyClone: استغلال يتيح تعديل صفحات الذاكرة المشتركة.
• Dirty Frag: استغلت تجزئة الذاكرة لإساءة استخدام الذاكرة المؤقتة.

جميع هذه الثغرات تشترك في نفس المبدأ: مسار سريع في النواة يقوم بالكتابة إلى صفحة لا يمتلكها حصرياً، وتتلقى الذاكرة المؤقتة للصفحات (page cache) الضربة. ما هو جديد في "pedit COW" هو نقطة الدخول: يمكن لمستخدم غير مميز تكوين إجراءات `tc` من داخل مساحة اسم مستخدم (user namespace)، مما يمنحه صلاحية `CAP_NET_ADMIN` التي يتطلبها الاستغلال.

لقد قام مؤلف إثبات المفهوم (PoC) بالإبلاغ عن استغلال غير مميز إلى جذر (unprivileged-to-root exploitation) على:

• RHEL 10 و Debian 13 (trixie): حيث تكون مساحات أسماء المستخدمين غير المميزة مفتوحة افتراضياً.
• Ubuntu 24.04: تطلب توجيه التنفيذ عبر ملفات تعريف AppArmor.
• Ubuntu 26.04: يحظر هذا المسار افتراضياً، لكن النواة الأساسية تظل معرضة.

تختلف التحديثات الأمنية حسب المورد:

• Debian: تم إصلاح `trixie`، لكن Debian 11 و 12 لا تزالان معرضتين.
• Ubuntu: تدرج الإصدارات المدعومة من 18.04 حتى 26.04 كمعرضة حتى 25 يونيو 2026.
• Red Hat: تدرج RHEL 8، 9، و 10 كمتأثرة؛ RHEL 7 غير مدرج.

للتخفيف من هذه الثغرة في حالة عدم القدرة على التحديث الفوري، يمكن اتخاذ إجراءين رئيسيين:

• حظر تحميل `act_pedit`: عن طريق الأمر: `echo 'install act_pedit /bin/true' | sudo tee /etc/modprobe.d/disable-act_pedit.conf`.
• تعطيل مساحات أسماء المستخدمين غير المميزة: بتعيين `user.max_user_namespaces=0` (RHEL) أو `kernel.unprivileged_userns_clone=0` (Debian/Ubuntu). يتطلب هذا اختباراً دقيقاً لتجنب تعطيل وظائف النظام الأخرى.

نظراً لأن الاستغلال يستهدف الذاكرة المخزنة مؤقتاً، فإن فحوصات سلامة الملفات قد لا تكتشفه. يجب التعامل مع المضيف على أنه مخترق بمجرد وقوع الاستغلال لأن مسح الذاكرة المؤقتة لا يغلق الـ shell الذي فتحه المهاجم.

السياق وتأثير السوق

لا تُعد ثغرة pedit COW حدثاً منعزلاً، بل هي جزء من نمط متكرر من الثغرات في نواة Linux التي تستغل فشل آليات النسخ عند الكتابة أو التعامل مع الذاكرة المؤقتة، كما رأينا في سلسلة ثغرات "Dirty" السابقة. هذا النمط يشير إلى تحدٍ هيكلي في كيفية إدارة النواة للصفحات المشتركة والمسارات السريعة التي تُدخل نقاط ضعف حرجة. السرعة التي ظهر بها الاستغلال العملي بعد أقل من 24 ساعة من تخصيص CVE في 16 يونيو 2026، تسلط الضوء على سباق التسلح المستمر بين الباحثين الأمنيين والمهاجمين، وتُبرز كيف أن التأخر في التعرف على الطبيعة الأمنية للخلل يمنح المهاجمين نافذة زمنية ثمينة.

تأثير السوق لهذه الثغرة عميق، خاصة على الأنظمة التي تعتمد على نموذج "المستخدمين المحليين" دون ثقة كاملة، مثل الأنظمة متعددة المستأجرين (Multi-tenant hosts)، بيئات CI/CD Runners، وعقد Kubernetes (Kubernetes nodes). هذه البيئات في خطر جسيم وتتطلب ليس فقط تطبيق التصحيحات بسرعة، بل أيضاً تبني استراتيجيات أمنية دفاعية عميقة (defense-in-depth) تتجاوز مجرد فحص سلامة الملفات التقليدي، الذي أثبتت هذه الثغرة أنه غير فعال في اكتشاف مثل هذه الهجمات القائمة على تسميم الذاكرة المؤقتة.

رؤية Glitch4Techs

تُقدم ثغرة pedit COW مثالاً صارخاً على التحديات العميقة في أمن أنظمة التشغيل، خاصة فيما يتعلق بالتعامل مع الذاكرة المشتركة والتفاعلات المعقدة داخل النواة. إن سرعة ظهور استغلال عملي بعد الكشف عن الثغرة مباشرة يؤكد أن الوقت بين الاكتشاف والاستغلال يتضاءل باستمرار، مما يضع ضغطاً هائلاً على فرق الأمن.

من منظور Glitch4Techs، تبرز هذه الثغرة عدة نقاط ضعف حرجة في الاستراتيجيات الأمنية التقليدية:

• قصور فحوصات سلامة الملفات: نظراً لأن الاستغلال يعبث بالنسخ المخزنة مؤقتاً في الذاكرة، فإن أدوات الكشف التقليدية تفشل. هذا يتطلب تحولاً نحو حلول الكشف السلوكي ومراقبة سلامة الذاكرة.
• خطورة نقاط الدخول غير المتوقعة: تُظهر هذه الثغرة كيف يمكن لميزات مثل `user namespaces` أن تُستخدم لشن هجمات خطيرة. يستدعي هذا مراجعة سياسات الأمان وتفعيل مبدأ الامتيازات الأقل.
• تأخر التنسيق الأمني: يشير تأخر تعيين CVE وتصنيف الثغرة حتى بعد ظهور التصحيح إلى فجوة تتطلب آليات أسرع لتحديد الأهمية الأمنية وضمان استجابة منسقة.

في ظل هذا الواقع، يجب على المؤسسات أن تُعيد تقييم جاهزيتها للأمن السيبراني بتبني نهج استباقي يشمل التحديثات الدورية، وتطبيق إجراءات التخفيف الاستباقية، وتنفيذ مراقبة متقدمة للكشف عن الشذوذ في سلوك النظام. التهاون في التعامل مع مثل هذه الثغرات يعني ترك الأبواب مفتوحة أمام المهاجمين.