أعلن باحثو JFrog Security Research عن ثغرة خطيرة جديدة في نواة لينكس تحمل اسم DirtyClone، وهي جزء من عائلة DirtyFrag التي أثارت موجة من الثغرات المتشابهة خلال الأشهر الماضية. الثغرة مصنفة تحت رقم CVE-2026-43503 بدرجة خطورة 8.8 وفقًا لمقياس CVSS، وتتيح للمهاجم المحلي الحصول على صلاحيات الجذر عبر استغلال حزم بيانات مكررة.
آلية الاستغلال
تكمن المشكلة في فقدان علامة أمان عند نسخ حزم الشبكة داخليًا، ما يسمح للمهاجم بتحميل ملف ثنائي مميز مثل /usr/bin/su إلى الذاكرة، ثم ربط صفحاته بحزمة شبكة يتم استنساخها. عند مرور هذه الحزمة عبر نفق IPsec يسيطر عليه المهاجم، يتم استبدال أجزاء من الذاكرة بمحتوى خبيث، ما يؤدي إلى تجاوز فحص تسجيل الدخول وتسليم صلاحيات الجذر. الملف على القرص يبقى دون تغيير، مما يجعل أدوات فحص سلامة الملفات عاجزة عن اكتشاف التلاعب، ولا يترك الهجوم أثرًا في سجلات التدقيق.
الأنظمة المعرضة للخطر
- خوادم متعددة المستأجرين.
- بيئات CI/CD.
- مضيفو الحاويات وKubernetes.
- أنظمة تسمح بإنشاء user namespaces غير الموثوقة.
وقد أكد الباحثون نجاح الاستغلال على توزيعات Debian وUbuntu وFedora بالإعدادات الافتراضية.
سلسلة ثغرات متشابهة
تأتي DirtyClone كالرابع في سلسلة ثغرات مرتبطة بنفس آلية الفشل:
- Copy Fail (CVE-2026-31431) في أبريل.
- DirtyFrag (CVE-2026-43284 وCVE-2026-43500) في مايو.
- Fragnesia (CVE-2026-46300) في منتصف مايو.
كل إصلاح أغلق مسارًا واحدًا وترك مسارات أخرى مفتوحة، بينما يتركز استغلال DirtyClone على دالة __pskb_copy_fclone()، مع تأثر skb_shift() أيضًا.
الحلول والإجراءات الوقائية
- تثبيت تحديثات النواة فورًا، حيث تم دمج الإصلاح في Linux v7.1-rc5 بتاريخ 24 مايو.
- تقييد إنشاء user namespaces عبر ضبط kernel.unprivileged_userns_clone=0 في Debian وUbuntu.
- تعطيل وحدات esp4 وesp6 وrxrpc كإجراء مؤقت، مع العلم أن ذلك يعطل ميزات مثل IPsec وAFS.
نظرة مستقبلية
يشير الخبراء إلى أن عائلة DirtyFrag لم تنته بعد، إذ أن أي دالة تنقل أجزاء الحزم دون الحفاظ على العلامة الأمنية قد تفتح الباب لثغرات جديدة. المطلوب هو مراجعة شاملة لكل المسارات التي تتعامل مع skb_shinfo()->flags لضمان سلامة النظام.



























