كشف باحثون أمنيون عن ثغرة خطيرة في نواة لينكس ضمن مكوّن nf_tables المسؤول عن تصفية الحزم، حيث يؤدي خطأ برمجي بسيط متمثل في حرف واحد إلى ثغرة use-after-free تسمح للمهاجمين المحليين غير المصرح لهم بالتصعيد إلى صلاحيات الجذر وكسر العزل داخل الحاويات.
الثغرة، المسجلة تحت رقم CVE-2026-23111، جرى إصلاحها في 5 فبراير 2026، لكن استغلالاتها العملية أصبحت متاحة للعامة منذ أبريل عبر فريق FuzzingLabs، وتبعهم فريق Exodus Intelligence بنشر شرح تقني كامل في يونيو.
كيفية الاستغلال والأنظمة المتأثرة
يستغل المهاجمون هذه الثغرة عبر الجمع بين nf_tables وميزة user namespaces التي تتيح للمستخدمين العاديين العمل كجذر داخل بيئة معزولة. هذه الميزة مفعّلة افتراضيًا في معظم توزيعات لينكس على الحواسيب المكتبية والخوادم.
الباحث Oliver Sieber من Exodus تمكن من ربط الثغرة بسلسلة استغلال كاملة تمنح صلاحيات الجذر على توزيعات مثل Debian Bookworm وUbuntu 22.04/24.04 LTS. أما فريق FuzzingLabs فقد أعاد إنتاج الثغرة على RHEL 10 قبل مسابقة Pwn2Own Berlin 2026.
موجة من ثغرات التصعيد المحلي
تأتي هذه الثغرة ضمن سلسلة من اكتشافات حديثة في نواة لينكس، منها Copy Fail وDirty Frag ونسخته Fragnesia، إضافة إلى ثغرة DirtyDecrypt وثغرة قديمة عمرها تسع سنوات في ptrace. القاسم المشترك بينها هو قدرة المهاجمين على تحويل موطئ قدم بسيط إلى صلاحيات جذر على أنظمة لينكس العادية.
التوصيات الأمنية والتوزيعات المصححة
أصدرت توزيعات كبرى مثل Ubuntu وDebian وRed Hat تحديثات لمعالجة الثغرة، مع إصدارات مصححة تشمل Ubuntu 22.04 و24.04 و25.10، وDebian Bookworm وTrixie، إضافة إلى نسخة Backport لـ Bullseye LTS. كما تتابع SUSE وAmazon Linux الثغرة ضمن نشراتها الأمنية.
ينصح الخبراء بضرورة تحديث النواة وإعادة تشغيل الأنظمة فورًا، مع التركيز على الأجهزة التي تسمح بإنشاء user namespaces من قبل مستخدمين غير موثوقين.
