ثغرة pedit COW: تهديد جديد يمنح صلاحيات الجذر عبر ذاكرة مؤقتة مسمومة

أعلن باحثو الأمن السيبراني عن ثغرة خطيرة في نواة لينكس تحمل اسم pedit COW، مصنفة تحت رقم CVE-2026-46331 بدرجة خطورة عالية (CVSS 8.5). الثغرة تقع في وحدة traffic-control الخاصة بالنواة، وتسمح لمستخدم محلي غير مميز بالحصول على صلاحيات الجذر عبر استغلال آلية تحرير الحزم (act_pedit) التي تؤدي إلى كتابة خارج الحدود في الذاكرة المشتركة.

آلية الاستغلال
  • تعتمد الثغرة على أداة tc التي تتيح تعديل رؤوس الحزم أثناء مرورها.
  • وظيفة النواة tcf_pedit_act() من المفترض أن تنسخ البيانات بشكل خاص قبل تعديلها، وفق نمط copy-on-write.
  • لكن عند استخدام مفاتيح تعديل تُحدد إزاحتها في وقت التشغيل، يحدث خطأ يؤدي إلى الكتابة خارج المنطقة المنسوخة، ما يفسد صفحة ذاكرة مشتركة من page cache.
  • إذا كانت هذه الصفحة مرتبطة بملف ثنائي يتم حقن حمولة خبيثة في النسخة المحملة بالذاكرة، مما يمنح المهاجم صلاحيات الجذر عند تشغيل الملف، دون أي تغيير على القرص أو أثر في سجلات التدقيق.
الأنظمة المتأثرة
  • RHEL 10 وDebian 13 (trixie) حيث تكون user namespaces غير المميزة مفعلة افتراضيًا.
  • Ubuntu 24.04 تسمح بالاستغلال عبر ملفات تعريف AppArmor التي لا تمنع إنشاء namespaces.
  • Ubuntu 26.04 تمنع المسار الافتراضي، لكن النواة نفسها تبقى معرضة.
  • توزيعات أخرى مثل Debian 11 و12 وRHEL 8 و9 مدرجة أيضًا ضمن الأنظمة المتأثرة.
نمط متكرر من الثغرات

تشبه هذه الثغرة ثغرات سابقة مثل Dirty Pipe، Copy Fail، DirtyClone، وDirty Frag، حيث يؤدي مسار سريع في النواة إلى تعديل صفحة ذاكرة مشتركة دون امتلاكها حصريًا. الجديد هنا هو نقطة الدخول عبر وحدة act_pedit التي يمكن تفعيلها من داخل user namespace غير المميز.

الإجراءات الوقائية
  • تثبيت تحديثات النواة وإعادة التشغيل فورًا، حيث تم دمج الإصلاح في مايو عبر قائمة netdev البريدية.
  • تعطيل وحدة act_pedit إذا لم تكن مستخدمة:
  • echo ‘install act_pedit /bin/true’ | sudo tee /etc/modprobe.d/disable-act_pedit.confتعطيل unprivileged user namespaces عبر ‎user.max_user_namespaces=0‎ في RHEL أو ‎kernel.unprivileged_userns_clone=0‎ في Debian/Ubuntu.
  • إسقاط ذاكرة التخزين المؤقت عبر ‎echo 3 > /proc/sys/vm/drop_caches‎ يزيل النسخة المسمومة، لكنه لا يلغي الجلسة الجذرية التي حصل عليها المهاجم بالفعل
  • دلالات أمنية
  • ظهور استغلال عملي خلال يوم واحد من تعيين CVE يعكس خطورة هذه الفئة من الثغرات، حيث أن أي خطأ في التعامل مع page cache يمكن أن يتحول إلى وسيلة مباشرة لتصعيد الصلاحيات. الخبراء يحذرون من أن هذه ليست سوى حلقة جديدة في سلسلة طويلة، وأن مراجعة شاملة لكل المسارات التي تتعامل مع skb_shinfo()->flags باتت ضرورة ملحة.
محمد طاهر
محمد طاهر
المقالات: 1700

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.