تحذير ضبابي: ثغرة خطيرة في رفع الامتيازات على نظام Linux، إيقاف الموديولات الثلاثة كتدبير تخفيف عاجل

كشف كبير مسؤولي أمن المعلومات في شركة مان شيو（慢霧）23pds في 8 مايو عن وجود ثغرة خطيرة لرفع صلاحيات في أنظمة Linux باسم Dirty Frag، وقد نُشرت التفاصيل الكاملة وكود الاستغلال بالفعل، إذ يمكن لأي مستخدم محلي قليل الصلاحيات الحصول مباشرة على صلاحيات المسؤول (root) للنظام المتأثر دون الحاجة إلى شروط محددة مسبقًا في النظام. وتتمثل إجراءات التخفيف العاجلة في تعطيل ثلاثة وحدات: esp4 وesp6 وrxrpc.

لماذا تُعد Dirty Frag بهذه الخطورة: خلل منطقي، معدل نجاح مرتفع، بلا تصحيح

تنتمي Dirty Frag إلى ثغرات من نوع الخلل المنطقي الحتمي (deterministic)، وليست هجمات غير مستقرة تعتمد على شروط السباق، ما يجعل معدل نجاحها مرتفعًا للغاية ويمكن إعادة إنتاجها بشكل ثابت. لا يحتاج المهاجم سوى إلى تشغيل برنامج صغير حتى يحصل فورًا على صلاحيات root للنظام المستهدف، ولا يؤدي ذلك إلى تعطل النواة، كما يصعب جدًا اكتشافه عبر المراقبة الاعتيادية.

تم تقديم الثغرة في 30 أبريل من قِبل باحثين أمنيين إلى فريق نواة Linux، لكن قبل اكتمال أعمال الإصلاح، قام «طرف ثالث غير ذي صلة» بكشف تفاصيل المعلومات وكود الاستغلال مبكرًا، ما أدى إلى إجبار أوامر الحظر الأمنية على الإلغاء. ويعتقد مجتمع الأمن على نطاق واسع أن هذا يعني احتمال قيام مهاجمين خبيثين باستغلال الثغرة بنشاط بالفعل.

ومن حيث المبدأ التقني، تشابه Dirty Frag آلية ثغرة Copy Fail التي تُحدث حاليًا أضرارًا واسعة في مجال خوادم Linux. كلاهما ينفذ الهجوم عبر إدراج واصف وصف ذاكرة التخزين المؤقت للصفحة (page cache descriptor) داخل عملية نسخ بلا صفاء (zero-copy). وتعود الجذور إلى الثغرة «xfrm-ESP Page-Cache Write» التي تم إدخالها عبر إيداع (commit) في عام 2017 يحمل الرمز cac2661c53f3؛ وبسبب إصلاح AppArmor في Ubuntu لهذه الثغرة، قامت PoC بربطها بالثغرة الثانية «RxRPC Page-Cache Write» (الإيداع 2dc334f1a63a)، لضمان أن يكون الهجوم فعالًا كذلك على أنظمة Ubuntu.

نطاق التأثر: قائمة بإصدارات Linux الشائعة التي تم تأكيدها

تم تأكيد إصدارات Linux المتأثرة (جزئيًا):

· Ubuntu 24 وUbuntu 26 (بما في ذلك AppArmor، مع الالتفاف عبر الثغرة الثانية)

· Arch Linux (تم كذلك تأكيد التأثر بالإصدارات المحدثة)

· RHEL (Red Hat Enterprise Linux)

· OpenSUSE

· CentOS Stream

· Fedora

· AlmaLinux

· CachyOS (تم تأكيد أن نسخة النواة 7.0.3-1-cachyos تُحفّز الثغرة)

· WSL2 (Windows Subsystem for Linux) تم تأكيد تأثره أيضًا

إجراءات التخفيف العاجلة: أوامر محددة لتعطيل الوحدات الثلاثة

قبل صدور التصحيح الرسمي، تُعد أكثر طريقة فعالية للتخفيف هي تعطيل الوحدات الثلاث: esp4 وesp6 وrxrpc. ترتبط هذه الوحدات بوظائف شبكة IPSec. وباستثناء ما إذا كانت الخوادم نفسها عميل IPSec أو خادم IPSec، فلن يؤثر تعطيلها على العمليات المعتادة تقريبًا.

يمكن تنفيذ الأوامر التالية لإتمام تعطيل الوحدات: sh -c “printf ‘install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n’ > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true”

بعد اكتمال التنفيذ، يُرجى متابعة إعلانات الأمان الخاصة بكل إصدار من إصدارات Linux عن كثب، ونشر تحديثات النظام فور صدور التصحيح الرسمي.

الأسئلة الشائعة

هل تتوفر الآن حزمة تصحيح رسمية لثغرة Dirty Frag؟

حتى الآن، لم تصدر أي حزمة تصحيح رسمية، ولم يُرصد أي إيداع إصلاح في النواة الرئيسية الخاصة بـ Linux. ويعود ذلك إلى أن أوامر الحظر الأمنية تم كسرها مسبقًا قبل اكتمال التحضير للحزمة، ما أدى إلى كشف تفاصيل الثغرة قبل اكتمال أعمال الإصلاح. ينبغي على مسؤولي الأنظمة متابعة إعلانات الأمان الخاصة بإصدارات Linux بدقة، ثم تطبيق التصحيح فور صدوره.

هل سيؤثر تعطيل وحدات esp4 وesp6 وrxrpc على عمل الخوادم بشكل طبيعي؟

ترتبط هذه الوحدات في الأساس ببروتوكول IPSec. وباستثناء ما إذا كانت الخوادم نفسها عميل IPSec أو خادم IPSec (أي تُستخدم للتشفير في طبقة الشبكة للتواصل)، فإن تعطيل هذه الوحدات يكاد لا يؤثر على الأعمال العامة مثل خدمات الويب وقواعد البيانات والعُقد المشفرة، وهو حاليًا أكثر حل تخفيف عاجل أمانًا وأقل تأثيرًا.

لماذا تم الكشف عن هذه الثغرة دون وجود تصحيح؟

تتبع الصناعة عرف «الإفصاح المسؤول»؛ إذ بعد تقديم باحثي الأمن للثغرة إلى الشركات المصنّعة، ينتظرون عادةً حتى اكتمال التصحيح قبل نشر التفاصيل. تم تقديم هذه الثغرة في 30 أبريل، لكن «طرفًا ثالثًا غير ذي صلة» سرب تفاصيل المعلومات مسبقًا، مما كسر الحظر. ويستنتج باحثو الأمن أن المهاجمين الخبيثين ربما يكونون قد استغلوا الثغرة بنشاط، وهو ما يُعد سببًا لتفكيك الحظر في النهاية.