أصدر باحثو الأمن السيبراني شيفرة إثبات مفهوم (PoC) لثغرة أمنية حديثة في نواة لينكس تحمل الرمز CVE-2026-31635، والمعروفة باسم DirtyDecrypt أو DirtyCBC، والتي تسمح برفع الامتيازات محلياً (LPE) على الأنظمة المصابة. الثغرة اكتشفها فريق Zellic وV12 Security في 9 مايو 2026، وتبين لاحقاً أنها نسخة مكررة من ثغرة سبق إصلاحها في النواة الرئيسية، لكن نشر PoC جعلها محط اهتمام واسع.
تفاصيل الثغرة وآلية الاستغلال
تكمن المشكلة في دالة rxgk_decrypt_skb() المسؤولة عن فك تشفير الحزم الواردة (sk_buff) في مسار الاستقبال. هذه الدالة تتعامل مع صفحات ذاكرة مشتركة بين العمليات، وهي عملية طبيعية في لينكس تُحمى عادةً بآلية Copy-on-Write (COW). لكن غياب الحماية هنا يسمح بكتابة البيانات مباشرة في ذاكرة العمليات المميزة أو في ملفات حساسة مثل /etc/shadow أو /etc/sudoers، ما يؤدي إلى رفع الامتيازات والوصول إلى صلاحيات الجذر.
التوزيعات المتأثرة والسيناريوهات المحتملة
الثغرة تؤثر فقط على التوزيعات التي تعتمد خيار CONFIG_RXGK مثل Fedora وArch Linux وopenSUSE Tumbleweed. في بيئات الحاويات، يمكن للعقد العاملة على نسخ مصابة أن تشكل مساراً للهروب من الحاوية والوصول إلى النظام المضيف.
الباحثون صنفوا DirtyDecrypt كنسخة من ثغرات سابقة مثل Copy Fail (CVE-2026-31431) وDirty Frag (CVE-2026-43284 وCVE-2026-43500) وFragnesia (CVE-2026-46300)، وجميعها تمنح وصولاً كاملاً للجذر عبر استغلال مسارات الكتابة في ذاكرة النواة.
موجة جديدة من ثغرات LPE في لينكس
تزامن الكشف مع ظهور ثغرات أخرى مثل:
- Pack2TheRoot (CVE-2026-41651) في خدمة PackageKit، بدرجة خطورة 8.8.
- ssh-keysign-pwn (CVE-2026-46333)، ثغرة في إدارة الامتيازات تسمح بقراءة مفاتيح SSH الخاصة بالمستخدم الجذر.
وقد أصدرت توزيعات عديدة مثل AlmaLinux وAmazon Linux وFedora وUbuntu تنبيهات أمنية لمعالجة هذه الثغرات.
مقترح “زر القتل” في نواة لينكس
تزايد هذه الثغرات دفع مطوري النواة إلى مناقشة مقترح أمني جديد يعرف بـ Killswitch، يسمح للمسؤولين بتعطيل وظائف معينة في النواة مؤقتاً عند اكتشاف ثغرة صفرية اليوم (Zero-Day) حتى يتوفر إصلاح رسمي. الفكرة تعتمد على جعل الدالة المستهدفة تعيد قيمة ثابتة دون تنفيذ محتواها، كإجراء وقائي سريع.
مبادرات توزيعات لينكس
من جانبها، أعلنت Rocky Linux عن مستودع أمني اختياري لتوفير إصلاحات عاجلة في الحالات التي تُكشف فيها ثغرات خطيرة مع وجود شيفرة استغلال عامة قبل صدور إصلاحات من المصدر الرئيسي. هذا المستودع يتيح للمسؤولين خياراً للتعامل السريع مع التهديدات، مع الحفاظ على التوافق مع الإصدارات الرسمية.
