ثغرة Copy Fail في نواة Linux: سكربت 732 بايت يمنح Root ويخترق حاويات Kubernetes

ثغرة واحدة ظلّت مختبئة في نواة Linux لتسع سنوات كاملة، وحين كُشفت أواخر أبريل 2026 تبيّن أن استغلالها لا يحتاج سوى سكربت Python بحجم 732 بايت — أقل من حجم توقيع بريد إلكتروني — ليحصل المهاجم على صلاحيات Root الكاملة. الثغرة المُسمّاة Copy Fail والمُسجّلة تحت CVE-2026-31431 بتقييم CVSS 7.8 لا تقتصر على تصعيد الصلاحيات المحلية، بل تتجاوز حدود الحاويات (Container Escape) وتُشكّل متجه اختراق مباشراً لعُقد Kubernetes.

ما هي ثغرة Copy Fail وكيف تعمل؟

Copy Fail هي خلل منطقي (Logic Bug) في قالب التشفير authencesn داخل النواة. الآلية بسيطة بقدر ما هي خطيرة: يستطيع مستخدم محلي بلا أي صلاحيات خاصة تنفيذ عملية كتابة محكومة بحجم 4 بايت في ذاكرة التخزين المؤقت للصفحات (Page Cache) لأي ملف قابل للقراءة على النظام. التعديل يحدث في الذاكرة فقط دون تغيير الملف على القرص، مما يجعل الاستغلال شبحياً لا تلتقطه أدوات مراقبة سلامة الملفات التقليدية مثل AIDE أو Tripwire. باستهداف ملف ثنائي يحمل صلاحية setuid، يحصل المهاجم على Root فوراً.

لماذا Copy Fail أخطر من Dirty Cow وDirty Pipe؟

شهدت نواة Linux ثغرات تصعيد صلاحيات بارزة سابقاً مثل Dirty Cow عام 2016 وDirty Pipe عام 2022، لكن Copy Fail تتفوق عليهما في ثلاث نقاط جوهرية. أولاً، الاستغلال حتمي (Deterministic) ولا يعتمد على الفوز بحالة سباق (Race Condition)، مما يعني نجاحه من المحاولة الأولى في كل مرة. ثانياً، نفس السكربت ذاته — بحجم 732 بايت — يعمل على جميع التوزيعات الرئيسية دون تعديل: Ubuntu وRHEL وDebian وSUSE وAmazon Linux وFedora وArch. ثالثاً، الثغرة موجودة في كل نواة Linux صدرت منذ 2017، أي أن نافذة التعرض تمتد لتسع سنوات كاملة.

الخطر الحقيقي: الهروب من الحاويات واختراق Kubernetes

ذاكرة Page Cache مشتركة بين جميع العمليات على النظام، بما في ذلك العمليات داخل الحاويات المختلفة. هذا يعني أن مهاجماً يملك حق تنفيذ كود داخل حاوية واحدة — حتى لو كانت مقيّدة بأشد سياسات الأمان — يستطيع تعديل ملفات النظام المضيف عبر Page Cache والهروب إلى مستوى العقدة (Node). في بيئات Kubernetes الإنتاجية، اختراق عقدة واحدة يفتح الباب أمام التحرك الأفقي (Lateral Movement) عبر الكتلة بأكملها. خطورة هذا السيناريو تتضاعف في بيئات CI/CD حيث يُنفَّذ كود غير موثوق بشكل روتيني داخل الحاويات.

التأثير على المؤسسات المالية السعودية

المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي (SAMA) تعتمد بشكل متزايد على البنية التحتية السحابية وحاويات Kubernetes لتشغيل الخدمات المصرفية الرقمية وتطبيقات الدفع. ثغرة Copy Fail تُهدد هذه البنية مباشرة من عدة زوايا. إطار SAMA CSCC في نطاق إدارة الثغرات الأمنية (Vulnerability Management) يُلزم المؤسسات بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد، ووكالة CISA حدّدت 15 مايو 2026 كموعد نهائي للترقيع. كذلك، ضوابط NCA ECC في مجال أمن الأنظمة والشبكات تتطلب حماية الأنظمة من تصعيد الصلاحيات غير المصرّح به. أما معيار PCI-DSS في متطلبه السادس فيفرض ترقيع الثغرات المعروفة في الأنظمة التي تعالج بيانات حاملي البطاقات.

الأنظمة المتأثرة والنطاق

تتأثر عملياً جميع توزيعات Linux التي تعمل بنواة صدرت بين 2017 والإصدارات المُرقّعة، وتشمل القائمة: Ubuntu 24.04 LTS وما قبلها، وRed Hat Enterprise Linux 10.1 والإصدارات السابقة، وAmazon Linux 2023، وSUSE Linux Enterprise 16، إضافة إلى Debian وFedora وArch Linux. هذا يعني أن أي خادم Linux في مركز البيانات، وأي عقدة Kubernetes في السحابة، وأي حاوية Docker تعمل على نواة غير مرقّعة — جميعها معرّضة للاستغلال.

التوصيات والخطوات العملية

1. ترقيع فوري: حدّث حزم النواة على جميع الأنظمة والعُقد فوراً. التحديثات متوفرة من Ubuntu وRed Hat وSUSE وAmazon Linux وجميع التوزيعات الرئيسية. الموعد النهائي لـ CISA KEV هو 15 مايو 2026.
2. حجب مقابس AF_ALG: كإجراء تخفيفي مؤقت حتى اكتمال الترقيع، امنع إنشاء مقابس AF_ALG باستخدام seccomp profiles أو AppArmor. هذا يقطع مسار الاستغلال عبر قالب authencesn.
3. مراجعة حاويات Kubernetes: تحقق من إصدار النواة على جميع عُقد الكتلة. طبّق Pod Security Standards بمستوى Restricted وامنع الحاويات من الوصول إلى صلاحيات مرتفعة عبر securityContext.
4. فحص بيئات CI/CD: أي بيئة تنفّذ كوداً من مصادر خارجية (مثل GitHub Actions self-hosted runners) على عُقد غير مرقّعة تُعد مكشوفة بالكامل. أوقف التنفيذ حتى الترقيع.
5. مراقبة استخدام AF_ALG: فعّل تسجيل Audit لاستدعاءات socket() من نوع AF_ALG على جميع الخوادم والعُقد. أي استدعاء من عملية غير متوقعة قد يكون مؤشر اختراق (IoC).
6. تحديث خطة الاستجابة: أضف سيناريو Container Escape إلى خطط الاستجابة للحوادث، وتأكد من قدرة فريق SOC على اكتشاف تصعيد الصلاحيات عبر Page Cache.

الخلاصة

ثغرة Copy Fail تُذكّرنا بأن أخطر الثغرات ليست دائماً الأحدث — بل تلك التي تختبئ لسنوات في مكونات أساسية يعتمد عليها الجميع. بتقييم CVSS 7.8 واستغلال حتمي بسكربت لا يتجاوز 732 بايت وقدرة على اختراق حدود الحاويات، هذه الثغرة تستحق أولوية قصوى في جدول الترقيع لكل مؤسسة مالية تعتمد على Linux في بنيتها التحتية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لبيئات Linux وKubernetes لديكم.