GhostLock: ثغرة لينكس عمرها 15 عاماً تمنح صلاحيات Root وهروب من الحاويات

ثغرة GhostLock (CVE-2026-43499) بعمر 15 عاماً في نواة لينكس تتيح صلاحيات Root وهروب الحاويات. يجب التحديث الفوري لمنع استغلالها عن بُعد عبر سلاسل الهجوم.
مقدمة تحليلية
كشفت أبحاث Nebula Security في 8 يوليو 2026 عن ثغرة GhostLock (CVE-2026-43499) في نواة لينكس، والتي بقيت غير مكتشفة لمدة 15 عاماً قبل تصحيحها في أبريل 2026. هذه الثغرة، التي تمكن المستخدمين المحليين من الوصول إلى صلاحيات الجذر والهروب من الحاويات، كانت موجودة افتراضياً في معظم توزيعات لينكس منذ عام 2011. Nebula Security حوّلتها إلى استغلال عملي بموثوقية 97% في اختباراتها، وحصل الفريق على مكافأة قدرها 92,337 دولاراً من Google عبر برنامج kernelCTF. لا يوجد دليل على استغلالها في البرية حتى الآن، لكن نشر كود الاستغلال يجعل التحديث الفوري ضرورة قصوى.
التحليل التقني
تكمن المشكلة الجوهرية لـ GhostLock في خطأ "use-after-free"؛ خطأ برمجي يحدث عندما يحاول البرنامج استخدام منطقة في الذاكرة بعد تحريرها وإعادة تخصيصها. يهدف الكيرنل إلى ضمان عدم توقف المهام العاجلة، لكن في حالة نادرة من عملية القفل الفاشلة، يقوم نظام التنظيف بتشغيل غير صحيح، مما يمسح سجل مهمة خاطئة. هذا الخطأ يترك الكيرنل يحمل "ملاحظة" تشير إلى جزء من الذاكرة تم التخلص منه وإعادة استخدامه بالفعل.
- نقطة الضعف: استغلال هذا المؤشر القديم يسمح للمهاجم بتنفيذ تعليمات برمجية بصلاحيات "root" خلال خمس ثوانٍ على الجهاز المختبر.
- التأثير: الثغرة تؤثر على كل إصدارات لينكس تقريباً منذ عام 2011.
- التصحيح: تم إدراج التصحيح الأولي في أبريل 2026 بالالتزام رقم `3bfdc63936dd`.
- الخطورة: سجلت الثغرة 7.8 من 10 على مقياس CVSS، مما يصنفها كعالية، لا حرجة، لأنها تتطلب تسجيل دخول مسبق للمهاجم.
- الاكتشاف: اكتشفت Nebula الثغرة باستخدام VEGA، أداة الكشف عن الأخطاء المدعومة بالذكاء الاصطناعي.
- التحديثات: حذرت Nebula من أن التصحيح الأصلي أحدث خطأً آخر (CVE-2026-53166)، لذا يجب تثبيت أحدث إصدار من نواة التوزيعة، وليس فقط الإصدار الأول المصحح. التوافر متفاوت، فـ Ubuntu مثلاً، لا تزال تدرج إصدارات LTS مثل 24.04 و 22.04 و 20.04 كضعيفة أو قيد التقدم حتى أوائل يوليو.
- خيارات التخفيف: خيارات البناء مثل `RANDOMIZE_KSTACK_OFFSET` و`STATIC_USERMODE_HELPER` تزيد من صعوبة الاستغلال، لكنها ليست حلولاً كاملة.
السياق وتأثير السوق
GhostLock ليست حالة معزولة؛ إنها جزء من سلسلة ثغرات تصعيد الامتيازات في نواة لينكس خلال عام 2026، وكثير منها اكتشفته أدوات آلية.
- **GhostLock مقابل Bad Epoll**: كلاهما ثغرات تصعيد امتيازات تسمح للمستخدم غير المميز بالوصول إلى صلاحيات الجذر. Bad Epoll (CVE-2026-46242) تم إثباتها عبر kernelCTF وتعمل على Android، مما يبرز اتساع نطاق المشكلة.
- **GhostLock مقابل Copy Fail**: ثغرة Copy Fail (CVE-2026-31431) تُستغل بالفعل في هجمات حقيقية، وهي ضمن قائمة CISA للثغرات المستغلة، مما يؤكد أن هذه الفئة من الأخطاء ليست نظرية.
- **الذكاء الاصطناعي في الاكتشاف**: أدوات مثل VEGA (التي وجدت GhostLock) ونموذج Mythos من Anthropic (الذي اكتشف خطأً مشابهاً) تكشف عن عيوب في كود الكيرنل القديم والمستخدم بكثرة الذي لم تتم مراجعته منذ سنوات. هذا يضع ضغطاً كبيراً على المطورين والشركات للحفاظ على أمان الكود.
الاستغلال الأكبر يأتي عند ربط هذه الثغرات. GhostLock هي الجزء الثاني من سلسلة هجوم Nebula التي تسميها IonStack. الجزء الأول (CVE-2026-10702) هو ثغرة في Firefox تسمح بتشغيل التعليمات البرمجية داخل المتصفح والهروب من صندوق الحماية. دمج الثغرتين يحول مشكلة محلية إلى اختراق كامل عن بُعد، كما أظهرت Nebula ضد Firefox على Android، حيث يكفي نقرة واحدة على رابط ضار للحصول على تحكم كامل. هذا السيناريو يعرّي ضعف الادعاء بأن "الوصول المحلي فقط" يقلل من خطورة الثغرة بشكل كبير، ويجعل المستخدمين والشركات غير الواعيين عرضة للخطر. يجب على مسؤولي الأنظمة التركيز على تحديث الخوادم المشتركة والحاويات أولاً، حيث أن الحصول على موطئ قدم محلي هو الأكثر احتمالاً.
رؤية Glitch4Techs
GhostLock هي فشل أمني ذريع يكشف عن ثغرات عميقة في عمليات مراجعة الكيرنل لنظام Linux. وجود نقطة ضعف بهذا القدم، خاصة في كود أساسي، أمر لا يُغتفر. الزعم بأنها تتطلب وصولاً محلياً لا يقلل من خطورتها؛ فقد أظهرت Nebula بوضوح كيف يمكن دمجها مع ثغرة متصفح لتصبح أداة اختراق عن بعد لا ترحم. يجب على مديري الأنظمة إعطاء الأولوية القصوى لتحديثات نواة Linux، وتجاوز التحديثات الأولى التي قد تكون غير مستقرة. الاعتماد المتزايد على أدوات الذكاء الاصطناعي لاكتشاف مثل هذه العيوب القديمة ليس دليلاً على تقدم الأمن بقدر ما هو إدانة لقصور المراجعة البشرية. هذا ليس سباق تسلح، بل هو اعتراف بأن أساساتنا تتآكل. الشركات التي تتجاهل هذا التحذير ستدفع الثمن غالياً.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
مقالات قد تهمك

CISA تُحذر: 4 ثغرات خطيرة في Adobe وJoomla وLangflow تستغل بنشاط

محتالان يديران شركة أمن سيبراني هجومي لبيع الثغرات: فضيحة IRIS C2

ثغرة خلفية خطيرة في راوترات Tenda: وصول إداري بلا كلمة مرور
