أصدرت Microsoft ووكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) مؤخرًا تحذيرًا بشأن ثغرة أمنية جديدة في Linux kernel، قائلة إن المشكلة قد تؤثر على عدد كبير من التوزيعات الرئيسية بما في ذلك Ubuntu وRed Hat وSUSE وDebian وFedora وArch Linux وAmazon (AWS) Linux، وقد يصل عدد الأجهزة المعنية إلى الملايين.
الثغرة الأمنية تحمل رقم CVE-2026-31431 ولها درجة CVSS تبلغ 7.8. تم إدراجه في دليل "الثغرات الأمنية المستغلة المعروفة" بواسطة CISA، والذي يعتبره ناقل هجوم شائع للمهاجمين الضارين ويشكل خطرًا كبيرًا على الوكالات الفيدرالية وبيئة المؤسسات الأوسع.
أشارت CISA في الاستشارة إلى أن هذه ثغرة أمنية "حيث تقوم نواة Linux بنقل الموارد بشكل غير صحيح بين مجالات الأمان المختلفة". إذا تم استغلاله، فقد يتسبب في رفع الأذونات المحلية إلى مستوى الجذر. يعد هذا النوع من التصعيد المحلي للامتيازات خطيرًا بشكل خاص في بيئات العمل المزدحمة بالحاويات ومتعددة المستأجرين بناءً على هذه التوزيعات، حيث بمجرد حصول المهاجم على الوصول الأولي إلى النظام، تكون هناك فرصة لمزيد من اختراق العزل والسيطرة على العقدة بأكملها.
أصدرت Red Hat تحذيرًا أمنيًا الشهر الماضي لتقديم شرح فني أكثر تفصيلاً لهذه المشكلة. وبحسب الإعلان، تظهر الثغرة الأمنية في واجهة خوارزمية التشفير algif_aead في نواة لينكس. بسبب تقديم تطبيق "العملية الموضعية" غير الصحيح، يكون تعيين الذاكرة للبيانات المصدر والبيانات الهدف غير متناسق. ونتيجة لذلك، قد تحدث مشكلات غير متوقعة في السلوك أو سلامة البيانات أثناء عملية التشفير، مما يؤثر على موثوقية الاتصال المشفر.
تتبع باحثو الأمان في Microsoft أيضًا الخلل المنطقي في النظام الفرعي لتشفير kernel وأشاروا إلى أن المشكلة تركزت على تحسين وحدة algif_aead ضمن إطار عمل AF_ALG الذي تم تقديمه في عام 2017. تسببت "التحسينات الموضعية" في ذلك الوقت في قيام kernel بإعادة استخدام ذاكرة المصدر بشكل غير صحيح كمخزن مؤقت للوجهة عند إجراء عمليات تشفير معينة. يمكن للمهاجم استغلال التفاعل بين واجهة مقبس AF_ALG واستدعاء نظام splice() لتحقيق كتابة 4 بايت يتم التحكم فيها في ذاكرة التخزين المؤقت لصفحة kernel، وبالتالي التلاعب بدقة بهياكل البيانات المهمة.
وقال الباحثون إن عملية الهجوم هذه يمكن تنفيذها من خلال برنامج Python وتعديلها للملفات الثنائية ذات الامتيازات العالية مثل /usr/bin/su بحيث يمكن تشغيلها مباشرة بامتيازات الجذر عند تنفيذها. على عكس العديد من عمليات استغلال النواة التي تعتمد على ظروف السباق، فإن استغلال هذه الثغرة الأمنية لا يعتمد على سباقات التوقيت، ولكن يمكن إعادة إنتاجها بشكل ثابت بطريقة حتمية من خلال نص صغير يبلغ حوالي 732 بايت. تعتبر مشكلة عدم الحصانة هذه وسيلة "موثوقة للغاية" لتصعيد الامتيازات لأنه يمكن استغلالها بنجاح على مجموعة متنوعة من التوزيعات الرئيسية مع القليل من التعديل.
في بيئة الحوسبة السحابية، يتم تضخيم المخاطر التي تجلبها هذه الميزة بشكل أكبر. تشترك العديد من الحاويات في نفس النواة المضيفة. بمجرد وجود هذه الثغرة الأمنية في إصدار النواة الأساسي، قد ينتشر اختراق حاوية واحدة إلى العقدة بأكملها التي يتم الاستيلاء عليها بالكامل. تحذر Microsoft من أنه حتى لو كان لدى المهاجم في البداية وصول محدود فقط، مثل تسجيل الدخول كمستخدم ذي امتيازات منخفضة عبر SSH أو الحصول على فرص التنفيذ في مسار CI/CD، فقد تكون هذه الثغرة الأمنية كافية للتصعيد إلى امتيازات الجذر، وخرق حدود الحاوية، وتمكين الحركة الجانبية، وإصابة أعباء العمل الأخرى في بيئة متعددة المستأجرين.
في الوقت الحالي، تقع أنشطة الاستخدام المرصودة علنًا بشكل أساسي في مرحلة إثبات المفهوم (PoC) ولم يتم تسليحها وانتشارها على نطاق واسع. ومع ذلك، أصدرت Microsoft توقيعات الكشف من خلال Microsoft Defender XDR لمساعدة المؤسسات من جميع الأنواع على تحديد محاولات الاستغلال المحتملة والأنظمة المخترقة. تحث Microsoft أيضًا فريق الأمان على إكمال تحديثات kernel في أقرب وقت ممكن بعد أن يوفر كل إصدار تصحيحات مقابلة للقضاء على المخاطر بشكل أساسي.
وإلى أن يتم وضع التصحيح بالكامل، توصي Microsoft باتخاذ سلسلة من إجراءات التخفيف، بما في ذلك التعطيل المؤقت لميزات التشفير ذات الصلة المتأثرة أو منع إنشاء مآخذ توصيل AF_ALG لتقليل التعرض لسطح الهجوم. بالإضافة إلى ذلك، ينبغي تعزيز سياسات التحكم في الوصول للحد من نطاق الحسابات التي يمكنها تشغيل تعليمات برمجية عشوائية على النظام، ويجب استخدام عزل الشبكة لتقليل احتمالية الانتشار الجانبي في البيئة الداخلية بعد نقطة تسوية واحدة. بالنسبة للعقد ذات العلامات المشبوهة، يعد التعافي السريع وإعادة الإعمار، إلى جانب تدقيق السجل واكتشاف السلوك، وسيلة مهمة أيضًا لتقليل المخاطر طويلة المدى.
