كتب: إسلام السقا
كشفت تقارير أمنية حديثة عن وجود ثغرة خطيرة في نواة لينكس، قد تسمح لمستخدم محلي محدود الصلاحيات بالحصول على صلاحيات الجذر (Root) دون الحاجة لتعديل الملفات الأصلية على القرص. تتعلق هذه الثغرة بتلاعب في النسخ المخزنة مؤقتًا من بعض الملفات التنفيذية.
تفاصيل الثغرة pedit COW
الثغرة، المسماة pedit COW وتحمل الرقم CVE-2026-46331، تم تحديدها داخل مكون التحكم في حركة الشبكة، وتحديدًا في وظيفة act_pedit. وتعتبر هذه الثغرة “مهمة” وفقًا لتصنيف Red Hat، حيث ظهرت استغلالاتها العملية بعد فترة قصيرة من تسجيلها رسميًا.
آلية استغلال الثغرة
تعتمد الثغرة على خلل في الكتابة خارج الحدود المسموح بها داخل الذاكرة. سلوك هذه الثغرة يسمح بتأثيرات سلبية على البيانات المخزنة في منطقة Page Cache، ما يجعل الأمور أكثر تعقيدًا. يُظهر هذا الهجوم عدم الحاجة لتعديل الملفات الأصلية على القرص. حيث يبدو أن أدوات فحص سلامة الملفات لن تكتشف أي تغيير، رغم أن النسخة الموجودة بالذاكرة قد تعرضت للتلاعب.
الإصابة بالثغرة
يمكن لمهاجم استغلال هذه الثغرة للتأثير على ملفات تنفيذية حساسة، مثل الملف /bin/su، الذي يُستخدم لتبديل المستخدمين ورفع الصلاحيات داخل أنظمة لينكس. وتتمثل المخاطر في أنه بمجرد أن يحصل المهاجم على صلاحيات محدودة عبر ثغرة أخرى أو حساب مخترق، يمكنه استخدام ثغرة pedit COW للتحول إلى صلاحيات الجذر.
بيئات الخطر العالي
خطر هذه الثغرة يظهر جليًا في بيئات الخوادم والحوسبة السحابية، خاصة في الأنظمة التي تستخدم user namespaces. زيادة الخطورة تكمن في إمكانية وصول المستخدمين العاديين إلى مكونات الشبكة الافتراضية، ما يتسبب في توسيع فرص الاستغلال.
عدم وجود أثر مباشر
من الأمور المقلقة أن الهجوم قد لا يترك أثرًا مباشرًا على الملفات المخزنة على القرص. هذا يعني أن أدوات مراقبة سلامة الملفات، التي تقارن النسخ الموجودة على القرص بالقيم الأصلية، قد تفشل في اكتشاف المشكلة. ومع ذلك، تستطيع أنظمة المراقبة المتقدمة رصد سلوكيات غير طبيعية.
التوزيعات الأكثر تأثرًا
تشير التقارير إلى أن أنظمة لينكس التي تحتوي على النسخ المتضررة من النواة قد تعتبر عرضة للخطر، ولا سيما عند تشغيل أحمال عمل متعددة. توزيعات مثل RHEL 10 وDebian 13 تمثل بيئات تستحق متابعة خاصة، حيث يعتمد مستوى التعرض على إصدار النواة والإعدادات الأمنية.
استراتيجيات التصحيح والأمان
يتعين على المستخدمين متابعة تحديثات النواة الصادرة من توزيعتهم وتطبيق التصحيحات الأمنية فور توفرها. يُوصى بتقليل الصلاحيات غير الضرورية للمستخدمين، ولا سيما في الأنظمة الحساسة. كما ينبغي مراقبة استخدام أدوات trafik control داخل الأنظمة الحساسة.
أهمية التصحيح السريع
ثغرات رفع الصلاحيات في نواة لينكس تتطلب جدية كبيرة من مسؤولي الأمن، خاصة عند وجود استغلال علني. تعتبر هذه الثغرة جزءًا من سلسلة من الثغرات التي تعرضت لها مكونات داخل نواة لينكس، مما يبرز خطر تأخير تحديثات النواة في البيئات الحساسة. التحسين الفوري للأمان يصبح ضرورة ملحة لمواجهة التهديدات.
يمكنك قراءة المزيد في المصدر.
لمزيد من التفاصيل اضغط هنا.