أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA)، ثغرة أمنية تؤثر على نواة نظام التشغيل لينوكس في كتالوج الثغرات المستغلة فعليًا (KEV)، مؤكدة أن الثغرة تُستغل بنشاط في الواقع العملي.
الثغرة، التي تحمل الرمز CVE-2023-0386 ودرجة خطورة 7.8 من 10 وفقًا لمقياس CVSS، ناتجة عن سوء إدارة ملكية الملفات في نواة Linux ، ويمكن استغلالها من قبل مستخدم محلي لتصعيد صلاحياته إلى مستوى الجذر (root) على الأنظمة المتأثرة. وقد تم ترقيعها في أوائل عام 2023.
تفاصيل الثغرة
قالت الوكالة في تحذيرها:
“تحتوي نواة Linux على ثغرة في إدارة الملكية، حيث تم رصد وصول غير مصرح به إلى تنفيذ ملف setuid مزود بصلاحيات خاصة في نظام OverlayFS ضمن سيناريو يتم فيه نسخ ملف يحتوي على قدرات تنفيذ من تركيب nosuid إلى تركيب آخر.”
وتابعت:
“هذا الخلل في تعيين معرّف المستخدم (uid mapping bug) يسمح للمستخدم المحلي برفع صلاحياته على النظام.”
كيف يحدث الاستغلال؟
لم يتضح حتى الآن كيف يُستغل الخلل تحديدًا في بيئات العالم الحقيقي. لكن شركة Datadog للأمن السيبراني كانت قد نشرت تقريرًا في مايو 2023، أوضحت فيه أن استغلال الثغرة سهل نسبيًا، ويعتمد على خداع النواة لإنشاء ملف تنفيذي من نوع SUID مملوك للمستخدم root داخل مجلد مؤقت مثل /tmp، ثم تشغيله.
وأوضحت الشركة:
“تكمن خطورة الثغرة CVE-2023-0386 في أن النواة، عند نسخها لملف من نظام ملفات overlay إلى دليل ‘علوي’، لا تتحقق مما إذا كان المالك (المستخدم/المجموعة) مُعينًا داخل نطاق المستخدم الحالي.”
وهذا يعني أن المستخدم غير المصرح له يمكنه تهريب ملف تنفيذي من النوع SUID من دليل “سفلي” إلى دليل “علوي”، باستخدام OverlayFS كوسيط.
ثغرات مشابهة
في وقت لاحق من نفس العام، كشفت شركة Wiz لأمن الحوسبة السحابية عن ثغرتين أخريين تؤثران على توزيعات Ubuntu وتحملان الاسمين الرمزيين GameOver(lay)، وهما (CVE-2023-32629 و CVE-2023-2640)، وتؤديان إلى نتائج مشابهة للثغرة الأساسية.
قال باحثو Wiz:
“تسمح هذه الثغرات بإنشاء ملفات تنفيذية خاصة، وعند تشغيلها، تمنح صلاحيات الجذر على الجهاز المصاب.”
إنذار رسمي
طلبت CISA من الوكالات الفيدرالية المدنية التنفيذية (FCEB) تطبيق التصحيحات الأمنية اللازمة قبل 8 يوليو 2025، لحماية شبكاتها من التهديدات النشطة.
