ثغرة خطيرة تضرب لينكس.. هجوم جديد يمنح المتسللين صلاحيات الجذر دون تعديل الملفات


كشفت تقارير أمنية عن ثغرة جديدة في نواة لينكس قد تسمح لمستخدم محلي محدود الصلاحيات بالحصول على صلاحيات الجذر Root، وهي أعلى صلاحيات داخل النظام، من خلال التلاعب بالنسخ المخزنة مؤقتًا من بعض الملفات التنفيذية بدلًا من تعديل الملفات الأصلية على القرص.
وذكر موقع The Hacker News أن الثغرة تحمل الرقم CVE-2026-46331 ويُطلق عليها اسم pedit COW، وتوجد داخل مكوّن التحكم في حركة الشبكة في نواة لينكس، وتحديدًا في وظيفة act_pedit المسؤولة عن تعديل حزم البيانات ضمن نظام traffic control، وصُنفت الثغرة لدى Red Hat بدرجة «مهمة»، كما ظهر استغلال عملي علني لها بعد فترة قصيرة من تسجيلها رسميًا.
كيف يتحول الخلل إلى صلاحيات جذر؟
تعتمد فكرة الثغرة على خلل من نوع الكتابة خارج الحدود المسموح بها داخل الذاكرة، ما قد يؤدي إلى إفساد بيانات موجودة في Page Cache، وهي منطقة يستخدمها لينكس لتخزين نسخ مؤقتة من الملفات في الذاكرة بهدف تسريع الوصول إليها.
وتكمن الخطورة في أن الهجوم لا يحتاج إلى تعديل الملف الأصلي على القرص، بل يستهدف النسخة الموجودة في الذاكرة. وبذلك قد تبدو أدوات فحص سلامة الملفات مطمئنة، لأن الملف المخزن على القرص لم يتغير، بينما تكون النسخة التي يتعامل معها النظام في الذاكرة قد تعرضت للتلاعب.
وبحسب التقرير، يمكن استغلال هذا السلوك للتأثير في ملفات تنفيذية حساسة مثل /bin/su، وهي أداة مرتبطة بتبديل المستخدمين ورفع الصلاحيات داخل أنظمة لينكس، بما قد يسمح في النهاية بالحصول على صلاحيات الجذر.
لماذا سُميت pedit COW؟
يشير جزء pedit إلى مكوّن act_pedit داخل نظام التحكم في حركة الشبكة، أما COW فيرتبط بمفهوم Copy-on-Write، وهي آلية شائعة في أنظمة التشغيل تسمح بمشاركة الذاكرة بين العمليات إلى أن يحتاج أحد الأطراف إلى تعديلها، وعندها تُنشأ نسخة مستقلة.
وتظهر المشكلة عندما يؤدي الخلل إلى التلاعب بذاكرة مشتركة أو مخزنة مؤقتًا بطريقة لا يفترض أن تحدث، ما يجعل النظام يتعامل مع نسخة ملوثة من ملف حساس من دون أن يظهر التغيير على القرص.
ولهذا يشبه الهجوم من حيث التأثير بعض الثغرات السابقة التي استغلت آليات الذاكرة والنسخ المؤقت داخل لينكس، لكنه يعتمد هذه المرة على مسار مختلف داخل مكوّنات الشبكة والتحكم في الحزم.
الخطر محلي لكنه مهم جدًا
لا تسمح الثغرة للمهاجم باختراق خادم لينكس عن بُعد بمجرد وجوده على الإنترنت، لأنها تتطلب وجود حساب أو وصول محلي إلى النظام المتأثر.
لكن هذا لا يقلل من خطورتها في بيئات الخوادم والحوسبة السحابية والحاويات، حيث قد يحصل المهاجم في البداية على صلاحيات محدودة من خلال ثغرة أخرى أو حساب مخترق، ثم يستخدم ثغرة مثل pedit COW للانتقال إلى صلاحيات الجذر والسيطرة على الجهاز.
وتزداد الخطورة في الأنظمة التي تسمح باستخدام user namespaces أو تمنح المستخدمين العاديين إمكانية الوصول إلى مكونات معينة من الشبكات الافتراضية، لأن ذلك قد يوسع فرص الاستغلال داخل بيئات متعددة المستخدمين.
لماذا يصعب اكتشاف الهجوم؟
تتمثل إحدى النقاط المقلقة في أن الهجوم قد لا يترك أثرًا مباشرًا على الملفات المخزنة على القرص، لأن التلاعب يحدث في الذاكرة المؤقتة.
وهذا يعني أن أدوات مراقبة سلامة الملفات التي تقارن النسخ الموجودة على القرص بالقيم الأصلية قد لا تكتشف المشكلة، لأنها ستجد أن الملف نفسه لم يتغير.
لكن ذلك لا يعني أن الهجوم غير قابل للرصد تمامًا، إذ يمكن لأنظمة المراقبة المتقدمة ملاحظة سلوكيات غير طبيعية، مثل استخدام غير معتاد لأدوات التحكم في الشبكة أو محاولات مفاجئة للحصول على صلاحيات مرتفعة أو تشغيل أوامر حساسة من حسابات محدودة الصلاحيات.
الأنظمة المتأثرة
تشير التقارير الأولية إلى أن الخلل يؤثر في أنظمة لينكس التي تتضمن النسخ المتأثرة من النواة وتسمح للمستخدمين المحليين بالوصول إلى المسارات اللازمة لاستغلال مكوّن act_pedit.
وتُعد توزيعات المؤسسات والخوادم أكثر حساسية لهذا النوع من الثغرات، خصوصًا عند تشغيل أحمال عمل متعددة أو حاويات أو حسابات لمستخدمين مختلفين على النظام نفسه.
وذكرت تقارير فنية أن توزيعات مثل RHEL 10 وDebian 13 قد تكون من بين البيئات التي تستحق متابعة خاصة عند تفعيل إعدادات معينة، لكن مستوى التعرض الفعلي يعتمد على إصدار النواة والإعدادات الأمنية وتحديثات التوزيعة.
ماذا يجب على مسؤولي الأنظمة فعله؟
الخطوة الأهم هي متابعة تحديثات النواة الصادرة من التوزيعة المستخدمة وتطبيق التصحيحات الأمنية فور توفرها، لأن معالجة الخلل من المصدر تظل الحل الأكثر فعالية.
كما يُنصح بمراجعة إعدادات user namespaces وتقليل الصلاحيات غير الضرورية للمستخدمين والحاويات، خصوصًا في الخوادم التي لا تحتاج فعليًا إلى تمكين هذه القدرات لكل المستخدمين.
وينبغي أيضًا مراقبة استخدام أدوات traffic control وtc داخل الأنظمة الحساسة، ومراجعة سجلات محاولات رفع الصلاحيات، وتطبيق مبدأ أقل الصلاحيات على الحسابات والخدمات.
الثغرة تذكير بخطورة التصعيد المحلي
تكشف pedit COW أن الثغرات المحلية لا تقل أهمية عن ثغرات الاختراق عن بُعد، لأنها غالبًا ما تُستخدم كمرحلة ثانية بعد الوصول الأولي إلى النظام.
فالمهاجم الذي يحصل على حساب محدود قد لا يستطيع سرقة كل البيانات أو تعطيل النظام مباشرة، لكنه إذا نجح في رفع صلاحياته إلى Root، يصبح قادرًا على التحكم الكامل في الخادم وتعديل الخدمات والوصول إلى الملفات الحساسة وزرع أدوات خبيثة أكثر بقاءً.
ولهذا يتعامل مسؤولو الأمن مع ثغرات رفع الصلاحيات في نواة لينكس بجدية كبيرة، خاصة عندما يظهر لها استغلال عملي علني بسرعة.
تحديث النواة لم يعد خيارًا مؤجلًا
تأتي هذه الثغرة ضمن سلسلة من الثغرات التي كشفت خلال الأشهر الأخيرة عن مخاطر في مكونات عميقة داخل نواة لينكس، بعضها مرتبط بإدارة الذاكرة وبعضها الآخر بالحاويات والتحكم في الشبكات.
ومع اعتماد المؤسسات على لينكس في الخوادم والسحابة والبنية التحتية الحساسة، يصبح تأخير تحديثات النواة مخاطرة مباشرة، حتى لو لم تكن الثغرة قابلة للاستغلال عن بُعد بمفردها.
وبالنسبة للمستخدمين العاديين، يكفي غالبًا تثبيت تحديثات النظام التي توفرها التوزيعة المستخدمة، بينما تحتاج المؤسسات إلى تقييم أسرع للأصول المتأثرة، واختبار التصحيحات، ثم نشرها على الخوادم ذات الأولوية العالية دون تأخير.
























