كشف فريق بحث التهديدات التابع لشركة Qualys (TRU) عن وجود ثغرتين خطيرتين في أدوات معالجة تفريغ الذاكرة في أنظمة التشغيل Ubuntu وRed Hat Enterprise Linux وFedora، وتحديدًا في برنامجي apport و systemd-coredump.
تُعرف هذه الثغرات بالرمزين CVE-2025-5054 وCVE-2025-4598، وكلاهما يندرج ضمن فئة “حالة التنافس” ( Race Condition) التي تسمح للمهاجمين المحليين بالحصول على معلومات حساسة عبر تفريغ الذاكرة الناتج عن الأعطال.
تفاصيل الثغرة الأمنية
– CVE-2025-5054 (تقييم CVSS: 4.7) – حالة تنافس في حزمة apport تصل إلى الإصدار 2.32.0 ، تسمح للمهاجم المحلي بتسريب معلومات حساسة من خلال إعادة استخدام معرف العملية (PID) باستخدام آليات الأسماء المكانية (Namespaces).
– CVE-2025-4598 (تقييم CVSS: 4.7) – حالة تنافس في systemd-coredump تمكن المهاجم من إجبار عملية مميزة (SUID process) على التعطل واستبدالها ببرنامج غير مميز للوصول إلى بيانات التفريغ الخاصة بالعملية الأصلية، مما يمكنه من قراءة معلومات حساسة مثل محتويات ملف /etc/shadow المستخدم في تخزين كلمات المرور المجزأة.
تُعرف صلاحية SUID بأنها إعداد أمني خاص يسمح بتنفيذ برنامج بصلاحيات مالكه بدلًا من صلاحيات المستخدم الذي يقوم بتشغيله، مما قد يؤدي إلى تداعيات أمنية خطيرة في حال استغلاله بشكل غير صحيح.
الإجراءات الوقائية والتخفيف من المخاطر:
أوصت Red Hat بتنفيذ الأمر التالي كجذر Root لمنع النظام من إنشاء تفريغ للذاكرة عند تعطل العمليات المميزة:
bash
echo 0> /proc/sys/fs/suid_dumpable
هذا الإعداد يوقف تمامًا عمليات تفريغ الذاكرة للبرامج ذات صلاحيات SUID ، مما يمنع تحليلها عند حدوث الأعطال، لكنه قد يؤثر على قدرة فرق الأمن السيبراني على تشخيص المشكلات المتعلقة بهذه العمليات.
كما أصدرت شركات أخرى مثل Amazon Linux و Debian و Gentoo تحذيرات أمنية مشابهة. جدير بالذكر أن أنظمة Debian ليست عرضة للثغرة CVE-2025-4598 بشكل افتراضي، نظرًا لأنها لا تتضمن أي معالج لتفريغ الذاكرة إلا إذا تم تثبيت systemd-coredump يدويًا، في حين أن إصدارات Ubuntu ليست متأثرة بهذه الثغرة.
تداعيات أمنية وتوصيات الخبراء:
أكد الباحثون في Qualys أن استغلال هذه الثغرات يمكن أن يؤدي إلى اختراق بيانات حساسة مثل كلمات المرور المشفرة والمفاتيح الأمنية والمعلومات الشخصية الخاصة بالعملاء عبر تفريغ ذاكرة التطبيقات المتأثرة.
وأوضح سعيد عباسي ، مدير المنتجات لدى Qualys TRU، أن تبعات هذه الهجمات تشمل تعطل العمليات التشغيلية، والإضرار بالسمعة، وحتى تعريض المؤسسات لمخاطر عدم الامتثال للأنظمة القانونية. وشدد على ضرورة اتخاذ إجراءات وقائية تشمل تحديث الأنظمة، مراقبة الأنشطة الأمنية، وتشديد ضوابط الوصول لمنع مثل هذه الهجمات.
