كشفت تقارير تقنية عن ثغرة أمنية عالية الخطورة (CVE-2026-31431 بتقييم CVSS عند 7.8) في نواة Linux، وحملت الاسم “Copy Fail”. تكمن خطورة هذه الثغرة في سماحها لمستخدم محلي، حتى وإن كان لا يمتلك امتيازات خاصة، بالقدرة على الكتابة الدقيقة والمتحكم بها داخل ذاكرة التخزين المؤقت للصفحات (page cache)؛ وهي الطبقة التي يعتمد عليها النظام لتسريع الوصول إلى الملفات عبر تخزين نسخ مؤقتة من بيانات القرص الصلب.
ويتيح هذا الخلل الأمني وسيلة عملية لتجاوز القيود المنهجية المتبعة، ويمكن المهاجم من الحصول على صلاحيات حساب “root” الذي يمثل أعلى سلطة في النظام. وقد شمل هذا التهديد مجموعة واسعة من توزيعات Linux الرئيسية، ويُعزى اكتشافها إلى باحثين من فريق Xint Code.
آليات الاستغلال البرمجي في القالب التشفيري لنواة Linux
يعود أصل هذه الثغرة إلى خلل منطقي في القالب التشفيري “authencesn” داخل النواة؛ حيث يعتمد الاستغلال على دمج واجهة “AF_ALG” المخصصة للتعامل مع خوارزميات التشفير، مع استدعاء “splice” المسؤول عن نقل البيانات بين واصفات الملفات. وتسمح هذه التركيبة للمهاجم بتنفيذ عملية كتابة بمقدار أربعة بايتات داخل ذاكرة “page cache” لأي ملف متاح للقراءة.
وتكمن الخطورة في أن هذه العملية تغير نسخة الملف الموجودة في الذاكرة فقط دون المساس بالأصل المخزن على القرص الصلب. وبما أن النظام يعتمد برمجياً على نسخة الذاكرة عند التنفيذ، فإن ذلك يسمح بالتأثير في سلوك الملفات التنفيذية بصورة غير مباشرة، مع صعوبة بالغة في رصد الهجوم.
يستطيع المهاجم استهداف ملفات حيوية مثل “/usr/bin/su” التي تعمل بامتيازات “setuid-root”. تبدأ العملية بفتح مقبس “AF_ALG” وربطه بنمط ضعيف، ثم توظيف “splice” لربط صفحات ذاكرة الملف الهدف بعملية التشفير. وعند تنفيذ فك التشفير، تؤدي وظيفة “recv” إلى كتابة تتجاوز الحدود المسموحة داخل الصفحة المختارة؛ وبتكرار ذلك، يتم حقن الشيفرة المطلوبة وتشغيل الملف المعدل للحصول على كامل الصلاحيات.
يتميز هذا الهجوم بطابعه المباشر والثبات في التنفيذ؛ إذ لا يتطلب استغلال ثغرات السباق الزمني أو معرفة إزاحات دقيقة في ذاكرة النواة. كما يعد تنفيذه متاحاً بموثوقية عالية على الأنظمة الصادرة منذ عام 2017 باستخدام نص برمجى ضئيل لا يتجاوز حجمه 732 بايتاً.
تداعيات الثغرة على البيئات السحابية وسبل المعالجة العاجلة
تمتد خطورة هذا الخلل لتشمل تجاوز حدود الحاويات البرمجية؛ نظراً لأن ذاكرة “page cache” تكون مشتركة بين الحاويات والمضيف. وتبرز هذه الحساسية بشكل خاص في الخوادم المشتركة، وبيئات Kubernetes، ومنصات الخدمات السحابية التي تسمح بتشغيل شيفرات العملاء.
وقد أكدت اختبارات الباحثين نجاح الاستغلال على النوى التي تتراوح إصداراتها بين 6.12 و6.18، وشملت توزيعات Ubuntu 24.04 LTS، وAmazon Linux 2023، وRHEL 10.1، وSUSE 16. ويشير النطاق الزمني الواسع للتأثر، والذي يمتد منذ عام 2017، إلى ضرورة التعامل العاجل مع التحديثات الأمنية المتاحة لسد هذه الثغرة.
تتضمن التوصيات التقنية تحديث حزمة النواة إلى النسخة التي تشتمل على التصحيح البرمجي المرتبط بالالتزام a664bf3d603d؛ وهو التصحيح الذي يعيد واجهة “algif_aead” للعمل خارج نمط المعالجة الموضعي. وفي حال تعذر التحديث الفوري، يُنصح بتعطيل الوحدة البرمجية “algif_aead” ومنع إنشاء مقابس “AF_ALG” في الأنظمة التي تدير أحمال عمل غير موثوقة.
وتظهر سجلات الإفصاح أن الفريق الأمني لنواة Linux قد تلقى البلاغ في 23 مارس 2026، وتم دمج التصحيح في مطلع أبريل، ليتبعه الإفصاح العلني في 29 أبريل. ورغم أن اقتصار الخطورة على الوصول المحلي حال دون بلوغ الثغرة الدرجة القصوى 10.0، إلا أن سهولة الاستغلال ترفع من ضرورة التحرك الوقائي في البيئات التقنية المشتركة لضمان سلامة الأنظمة.
