أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية في نواة Linux إلى كتالوج الثغرات المعروفة المستغلة، وذلك بعد توفر أدلة تثبت استخدامها الفعلي في هجمات سيبرانية نشطة.
وتوصف هذه الثغرة (CVE-2022-0492 بتقييم CVSS عند 7.8)، بأنها خلل في التحقق من الأذونات داخل مكون cgroups v1 في نواة Linux، وتحديداً في الدالة cgroup_release_agent_write ضمن الملف kernel/cgroup/cgroup-v1.c. وبحسب بيانات قاعدة بيانات الثغرات الوطنية الأمريكية (NVD)، فإن هذا الخلل يتيح، في ظروف معينة، استغلال خاصية release_agent لتصعيد الصلاحيات وتجاوز عزل المساحات الاسمية بشكل غير متوقع.
حددت CISA تاريخ 5 يونيو 2026 كمهلة نهائية لتطبيق إجراءات التخفيف وفقاً لتعليمات الموردين، أو وقف استخدام المنتج في حال عدم توفر المعالجة الجذرية.
وتكتسب الثغرة أهمية خاصة في بيئات الحاويات والحوسبة السحابية، نظراً لأن cgroups تمثل إحدى آليات Linux الأساسية لعزل وإدارة موارد العمليات. وذكرت وحدة Unit 42 التابعة لشركة Palo Alto Networks في تحليل سابق أن الخلل قد يسمح بتعريض عملية امتيازية لمستخدمين غير مخولين، مع إمكانية تحول هذا الاستغلال إلى مسار كامل للهروب من الحاوية إذا اجتمعت شروط تشغيلية معينة.
ولا يعني ذلك بالضرورة أن جميع بيئات الحاويات قابلة للاستغلال تلقائياً؛ فبحسب التحليل الفني، تنخفض مستويات المخاطر بوضوح عند تفعيل ضوابط الأمان مثل Seccomp وAppArmor أو SELinux، وعند تجنب تشغيل الحاويات بإعدادات واسعة الصلاحيات. كما يظل تحديث نواة Linux إلى الإصدارات التي تحتوي على التصحيح البرمجي هو الإجراء المباشر والأكثر فاعلية لمعالجة الخلل.
وتوصي CISA المؤسسات باعتماد كتالوج الثغرات المستغلة كمدخل أساسي في عمليات إدارة الثغرات، ولا سيما عند وجود أنظمة Linux قديمة أو بيئات حاويات تسمح بإنشاء مساحات مستخدم غير مميزة أو تعمل دون ضوابط عزل كافية. ويشمل ذلك مراجعة نسخ النواة المعتمدة، وتقييم إعدادات cgroups v1، وتعطيل المسارات غير الضرورية التي قد تسمح بتصعيد الصلاحيات.
