ثغرة GhostLock: ثغرة حرجة في نواة Linux هددت الأنظمة لـ 15 عاماً

خطأ برمجي عمره عقد ونصف يمنح المهاجمين صلاحيات الجذر في أنظمة Linux.

ثغرة GhostLock: ثغرة حرجة في نواة Linux هددت الأنظمة لـ 15 عاماً
ثغرة GhostLock تكسر أمن نواة Linux بعد 15 عاماً من التخفي.

كشف باحثون أمنيون عن ثغرة خطيرة في نواة نظام التشغيل Linux، ظلت كامنة في جميع التوزيعات الرئيسية لأكثر من عقد ونصف، تتيح لمهاجم محلي السيطرة الكاملة على الأنظمة المتأثرة. تحدث الثغرة (CVE-2026-43499 بتقييم CVSS عند 7.8)، الملقبة بـ “GhostLock”، نتيجة خلل من نوع “الاستخدام بعد التحرير” (Use-After-Free) في النظام الفرعي rtmutex، وتمتد جذورها إلى إصدار النواة 2.6.39 الذي صدر عام 2011.

يكمن الخلل في دالة remove_waiter() داخل ملف kernel/locking/rtmutex.c، والتي صممت لتنظيف مؤشر pi_blocked_on الخاص بالمهمة الجاري تنفيذها عند إلغاء قفل rtmutex. بيد أن المسار البرمجي المسمى “Requeue-PI” يستدعي هذه الدالة نيابة عن مهمة أخرى نائمة، ما يؤدي إلى مسح المؤشر الخطأ وبقاء مؤشر معلق يشير إلى ذاكرة مكدس تم تحريرها بالفعل. هذا المؤشر الواهم يتحول إلى ثغرة من نوع “الاستخدام بعد التحرير” تسمح للمهاجم بالتلاعب بذاكرة النواة.

وبحسب التحليل التقني الذي نشرته شركة Nebula Security، فإن استغلال الثغرة لا يتطلب أي إعدادات خاصة أو صلاحيات مرتفعة، بل يكفي وجود دعم CONFIG_FUTEX_PI، وهو خيار مفعل افتراضياً في معظم توزيعات Linux. وقد طور الفريق البحثي استغلالاً يحقق نسبة نجاح تصل إلى 97%، ويسمح لبرمجية خبيثة تعمل بصلاحيات مستخدم عادي بتصعيد الامتيازات إلى مستوى “الجذر” (root)، إضافة إلى إمكانية الهروب من حاويات التطبيقات لتهديد البنية التحتية السحابية.

أثمرت جهود الباحثين عن مكافأة مالية قدرها 92,337 دولاراً أميركياً من برنامج kernelCTF الذي تديره Google. وأكدت الشركة أنها لم ترصد أي دليل على استغلال الثغرة في هجمات فعلية قبل الكشف عنها، لكنها شددت على ضرورة التحديث الفوري نظراً لسهولة تطوير هجمات موثوقة.

تم إصلاح الثغرة في إصدار النواة 7.1 عبر التعليمة البرمجية 3bfdc63936dd، كما نُشرت التصحيحات الخلفية لفروع النواة المستقرة طويلة الدعم (LTS). .

يظل تأثير الثغرة على نظام أندرويد قيد التقييم، وفقاً لما أورده الباحثون في منشورهم. ومع ذلك، فإن النطاق الواسع للإصدارات المتأثرة،  من النواة 2.6.39 حتى ما قبل 7.1، يعني أن أي خادم أو محطة عمل أو جهاز يعمل بنواة Linux غير محدثة يظل عرضة للخطر. لذا توصي الفرق الأمنية بمراجعة إصدار النواة فوراً وتطبيق التصحيحات الصادرة عن الموزعين المعتمدين.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى