تحديث 10 مايو: تم تحديث هذه المقالة بشأن ثغرة Dirty Frag في نواة لينكس، وهي ثغرة يوم الصفر الحرجة التي تمنح المهاجمين وصولاً جذرياً دون توفر تصحيح، لتضم تعليقات من خبراء الأمن في Black Duck وBugcrowd وSectigo.
إذا كنت تعتقد أن لينكس كان بطريقة ما الخيار الآمن والموثوق كنظام تشغيل، فقد ترغب في إعادة التفكير. بعد أن تبعت ثغرة Copy Fail التي ظلت مخفية لمدة 9 سنوات، تأتي أخبار عن يوم صفر جديدة، مع عدم توفر تصحيح ومنح الهاكرز صلاحيات الجذر، قد تم تأكيدها. تم الكشف عن ثغرة Dirty Frag علنًا يوم الجمعة، 8 مايو 2026، بعد أن تم كسر حظر صارم بشأن الثغرة. وبالتالي، ومع وجود إثبات لمفهوم الاستغلال المعروفة، فإنه لم يعد الأمر سوى مسألة وقت قبل أن يستخدم المهاجمون هذا في البرية للهجوم على الأنظمة. إليك ما نعرفه عن CVE-2026-43284 والحل الذي يمكنك استخدامه للتخفيف من الهجمات.
ما نعرفه عن CVE-2026-43284، ثغرة Dirty Frag في لينكس
لماذا يكون ذلك دائمًا يوم جمعة؟ تمامًا كما أن فرق الأمن ومستخدمي النهاية يتطلعون إلى عطلة نهاية الأسبوع، يظهر مشكلة أمنية قبيحة، مما يوقف كل هذا. مع استمرار توزيعات لينكس الكبرى في طرح تصحيحات لثغرة Copy Fail، والتي تأكدت وكالة الأمن السيبراني والبنية التحتية الأمريكية أنها يتم استغلالها الآن من قبل المهاجمين، تأتي أخبار عن وجود مشكلة أكثر سوءًا. تم تأكيد وكشف Dirty Frag، والتي تتعقب رسميًا الآن بواسطة قاعدة بيانات الثغرات الشائعة والمعروفة باسم CVE-2026-43284، قبل أن يكون هناك تصحيح جاهز.
وفقًا لباحث الأمن المسؤول، هيون وو كيم، كان سبب الكشف عن الثغرة العامة في 8 مايو هو كسر شخص ما للحظر الذي كان مفروضًا. “نظرًا لأن الحظر قد تم كسره الآن، لا توجد تصحيحات أو CVEs لهذه الثغرات”، قال كيم. بعد استشارة مع القائمين على توزيعات لينكس Openwall، وبناءً على طلبهم، أكد كيم، “أنا أفرج علنًا عن هذا وثيقة Dirty Frag.”
من المدهش، تمامًا مثل Copy Fail قبلها من حيث العمر، أن عيب تصعيد الامتياز Dirty Frag موجود في نواة لينكس، وتحديدًا في واجهة الخوارزمية التشفيرية algif_aead، منذ حوالي تسع سنوات.
أيضًا، وكما قال كيم، “يسمح Dirty Frag أيضًا بتصعيد فوري لصلاحيات الجذر على جميع التوزيعات الكبرى، ويربط بين ثغرتين منفصلتين.”
إليك ما يقوله الخبراء الأمنيون البارزون عن ثغرة Dirty Frag في نواة لينكس.
“تعتبر هذه الثغرة مشابهة لكل من Copy Fail وDirty Pipe من حيث أنها تهاجم ذاكرة التخزين المؤقت للصفحات في النظام، حيث تحدث عمليات التشفير في المكان”، قال بن رونالو، المهندس الرئيسي للأمن السيبراني في Black Duck، “لكن Dirty Frag لا تقتصر على نظام فرعي واحد من لينكس.” مع نشر كل كود الاستغلال الآن، قال رونالو، مكررًا تحذيري السابق، “إنه مجرد مسألة ساعات أو أيام قبل أن يتم استخدام هذا كسلاح.”
في الوقت نفسه، قال ديفيد بروملي، رئيس الذكاء الصناعي وعلوم البيانات في Bugcrowd، إنه بينما تنتمي Dirty Frag إلى نفس فئة الثغرات مثل Copy Fail، “فإن كل توزيع لينكس تقريبًا ضعيف، وأن التصحيح لثغرة Copy Fail وحدها غير كافٍ.” إن اكتشاف Copy Fail باستخدام تحليل متقدم للذكاء الاصطناعي، بينما تم تجاهل Dirty Frag، هو سبب للقلق. “إنها تذكير بأن فئات الثغرات نادرًا ما تتم exhausting خلال تمريرة واحدة، حتى وإن كانت جيدة جدًا. لا يزال الباحثون المستقلون مهمين لأنهم يجلبون intuitional مختلفة، وتدفقات العمل المختلفة، وأنماط الفشل المختلفة.”
حذر جايسون سوروكو، زميل أول في Sectigo، من أن أهمية تهديد Dirty Frag “تتضاعف بسبب طبيعتها الحتمية العالية”، موضحًا أنه “نظرًا لأن الاستغلال لا يعتمد على نافذة زمنية أو شروط سباق، يمكن للمهاجمين الحصول على وصول فوري للصلاحيات الجذرية بمعدل نجاح استثنائي مرتفع دون المخاطرة بانهيار النواة.”
كيف يمكن التخفيف من مخاطر هجوم Dirty Frag في لينكس قبل وصول تصحيح
للتخفيف من الهجمات على لينكس الآن بعد أن تم الكشف عن يوم الصفر علنًا، وقبل أن يصبح التصحيح جاهزًا، يُنصح المستخدمون من كيم بإزالة الوحدات التي تحدث فيها الثغرات على النحو التالي:
sh -c “printf ‘install esp4 /bin/falseninstall esp6 /bin/falseninstall rxrpc /bin/falsen’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”
تم اختبار Dirty Frag على أنها قابلة للتطبيق على إصدارات توزيعات لينكس التالية:
- أوبونتو 24.04.4: 6.17.0-23-generic
- RHEL 10.1: 6.12.0-124.49.1.el10_1.x86_64
- openSUSE Tumbleweed: 7.0.2-1-default
- CentOS Stream 10: 6.12.0-224.el10.x86_64
- AlmaLinux 10: 6.12.0-124.52.3.el10_1.x86_64
- Fedora 44: 6.19.14-300.fc44.x86_64_
يمكنك قراءة مزيد من التفاصيل الفنية ومتابعة التطورات المتعلقة بأحدث يوم صفر في نواة لينكس على موقع معلومات Dirty Frag الرسمي.
