ظهرت تفاصيل جديدة حول ثغرة رفع الامتيازات المحلية (LPE) غير المُرقّعة في نواة لينكس، أطلق عليها الباحثون اسم Dirty Frag، ووصفت بأنها خليفة لثغرة Copy Fail (CVE-2026-31431) التي تخضع للاستغلال النشط مؤخرًا. الثغرة أُبلغ عنها إلى مشرفي نواة لينكس في 30 أبريل 2026، وتُعتبر امتدادًا لفئة الثغرات التي تضم Dirty Pipe وCopy Fail، لكنها أكثر موثوقية لأنها لا تعتمد على ظروف سباق أو توقيتات دقيقة.
تفاصيل تقنية وآلية الاستغلال
وفقًا للباحث الأمني Hyunwoo Kim (@v4bel)، فإن Dirty Frag تحقق وصولًا بصلاحيات الجذر عبر دمج ثغرتين:
- xfrm-ESP Page-Cache Write
- RxRPC Page-Cache Write
الثغرة الأولى مرتبطة بنظام IPSec (xfrm) وتسمح بكتابة 4 بايت في ذاكرة الصفحة، بينما الثانية لا تتطلب إنشاء مساحة أسماء لكنها تعتمد على وحدة rxrpc.ko التي لا تتوفر في جميع التوزيعات. الجمع بين الثغرتين يغطي الثغرات الأمنية في بيئات مختلفة، مما يجعل الاستغلال ممكنًا على توزيعات مثل Ubuntu 24.04.4، RHEL 10.1، openSUSE Tumbleweed، CentOS Stream 10، AlmaLinux 10، Fedora 44.
خطورة الثغرة وانتشارها
الثغرة تتيح لمستخدم محلي غير مميز الحصول على صلاحيات الجذر، ما يفتح الباب أمام سيناريوهات خطيرة مثل الهروب من الحاويات في بيئات Kubernetes أو Docker. وقد أُشير إلى أن الثغرة تعود جذورها إلى تعديل في الشيفرة المصدرية بتاريخ يناير 2017، وهو نفس التعديل الذي تسبب سابقًا في ثغرة CVE-2022-27666.
إثبات المفهوم والإجراءات المؤقتة
تم نشر إثبات مفهوم (PoC) يعمل بأمر واحد فقط للحصول على صلاحيات الجذر، مما يزيد من خطورة الوضع. وحتى صدور ترقيعات رسمية، أوصت توزيعات مثل AlmaLinux وCloudLinx بحظر وحدات esp4 وesp6 وrxrpc عبر إضافة قاعدة إلى ملف modprobe.d لتعطيل تحميلها:
sudo sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”
التحديثات والتصنيفات الرسمية
ثغرة xfrm-ESP Page-Cache Write حصلت على معرف CVE-2026-43284 وتم ترقيعها في الإصدار الرئيسي.
ثغرة RxRPC Page-Cache Write حصلت على معرف CVE-2026-43500، لكن لم يتوفر لها ترقيع حتى الآن.
باحثو شركة Wiz وصفوا Dirty Frag بأنها سلسلة ثغرات تتيح تعديل ذاكرة مدعومة من page-cache ليست مملوكة حصريًا للنواة، ما يؤدي إلى فساد الملفات الحساسة ورفع الامتيازات. وأكدوا أن الاستغلال لا يعتمد على ظروف سباق، مما يجعله عالي الموثوقية.
دلالات أمنية على المؤسسات
الثغرة تؤكد أن حتى الأنظمة المحدثة قد تكون معرضة لهجمات رفع الامتيازات المحلية، وأن المؤسسات التي تعتمد على لينكس في بيئات إنتاجية أو سحابية يجب أن تتخذ إجراءات استباقية، مثل تعطيل الوحدات المعرضة، مراقبة الأنشطة غير الطبيعية، وتطبيق سياسات أمان صارمة للحاويات والأنظمة الافتراضية.
