اكتشف الباحث الأمني جايوونغ تشونغ (Jaeyoung Chung) ثغرة أمنية عالية الخطورة (CVE-2026-46242 بتقييم CVSS عند 7.8) في نواة نظام Linux أطلق عليها اسم “Bad Epoll”. وتكمن خطورة الثغرة في تمكين أي مستخدم محلي يمتلك صلاحيات عادية وغير مميزة من تصعيد امتيازاته مباشرة إلى مستوى الجذر (root). تندرج الثغرة تقنياً ضمن فئة “الاستخدام بعد التحرير” (Use-After-Free) داخل النظام الفرعي epoll، وهو المكون المسؤول عن إدارة ومراقبة مقابض الملفات وتدفق اتصالات الشبكة. ويمتد نطاق التهديد ليشمل أنظمة Linux المكتبية، والبيئات الخادمة، بالإضافة إلى هواتف أندرويد التي تعمل بالإصدار 6.4 فما فوق من النواة.
وكانت شركة Anthropic قد وظفت سابقاً نموذج Mythos لفحص المقطع البرمجي ذاته، حيث نجح النموذج في رصد ثغرة حالة سباق (Race Condition) أخرى، غير أنه لم يتمكن من تحديد ثغرة “Bad Epoll”. وأثار هذا القصور البرمجي نقاشاً تقنياً واسعاً حول الحدود الفعلية لقدرات الذكاء الاصطناعي في تعقب واكتشاف الثغرات الأمنية المعقدة. وحتى الوقت الراهن، تظهر المؤشرات خلو الساحة الأمنية من أي دليل يثبت استغلال هذه الثغرة في هجمات نشطة على أرض الواقع، علماً أن الحل الجذري متوفر حالياً عبر التزام رسمي دُمج في مستودع نواة Linux الرئيسية.
أبرز المعلومات عن الثغرة
| العنصر | التفاصيل |
|---|---|
| المعرف | CVE-2026-46242 |
| النوع | ثغرة استخدام بعد التحرير (Use-After-Free)، حالة تسابق (Race Condition) بين مسارين للإغلاق |
| الأنظمة المتأثرة | نواة Linux 6.4 والإصدارات الأحدث (سطح المكتب، الخوادم، وأجهزة أندرويد العاملة بهذه النوى) |
| الأنظمة غير المتأثرة | النوى الأقدم مثل 6.1 (مثال: توزيعة Debian bookworm، هواتف Pixel 8 لا تستخدم النواة 6.4) |
| الإصلاح | التزام a6dc643c6931 في النواة الرئيسية (وتحديثات خلفية للفروع المستقرة ced39b6a8062 و ef4ca02e9536) |
| موثوقية الاستغلال | يُستغل بنجاح بنسبة 99% على الأنظمة المُختبرة رغم ضيق نافذة السباق |
| المُكتشف | الباحث جايوونغ تشونغ، وقدمه كاستغلال يوم صفر لبرنامج kernelCTF من Google |
وتتضاعف خطورة “Bad Epoll” نظراً لقدرتها الفعالة على اختراق بيئات أندرويد، وهو نوع من الاختراقات النادرة ضمن ثغرات تصعيد الصلاحيات الخاصة بـ Linux؛ فمن بين ما يقارب 130 ثغرة أمنية جرى اختبارها واستغلالها سابقاً ضمن برنامج kernelCTF، لم تتجاوز الثغرات المؤهلة للوصول إلى صلاحيات الجذر على أندرويد حاجز 10 ثغرات فقط، وتأتي هذه الثغرة لتكون واحدة منها. وعلاوة على ذلك، يمتلك المهاجم القدرة على إطلاق هذا الاستغلال من داخل بيئة المعزل الأمني لمتصفح Chrome، ما يمهد الطريق لبناء سلسلة هجمات تبدأ بتنفيذ تعليمات برمجية عن بُعد داخل المتصفح وتنتهي بالسيطرة الكاملة على النواة.
وما يزيد الموقف تعقيداً هو استحالة تعطيل النظام الفرعي epoll؛ لكونه ركيزة أساسية لا غنى عنها لتشغيل وظائف النظام الحيوية، وخدمات الشبكة، والمتصفحات الحديثة، ما يجعل الإصلاح البرمجي المباشر هو السبيل الأوحد لتأمين الأنظمة دون وجود أي بدائل تشغيلية مؤقتة.
بالعودة إلى الجذور البرمجية للمشكلة، نجد أن الخلل يعود إلى تعديل برمجي واحد أُدخل على النظام في أبريل 2023، ونتج عنه خطآن أمنيان منفصلان في كود epoll الذي لا تتجاوز بنيته 2,500 سطر. وفي حين التقط نموذج Mythos الخطأ الأول الذي سجل تحت المعرف CVE-2026-43074 وجرى إصلاحه لاحقاً، تسببت طبيعة الخطأ الثاني في تجاوزه لأنظمة فحص الذكاء الاصطناعي.
ويعزو الباحث تشونغ صعوبة الاكتشاف إلى عاملين رئيسيين، هما ضيق نافذة السباق الزمنية التي تنحصر في 6 تعليمات آلية فقط، ما يجعل تتبع تسلسل الأحداث البرمجية أمراً بالغ الصعوبة حتى أثناء المراجعة اليدوية الدقيقة للكود، إلى جانب غياب الأدلة الرقمية أثناء وقت التشغيل عقب رصد الثغرة الأولى، حيث يعجز كاشف أخطاء الذاكرة KASAN عن إطلاق أي إنذار أو رصد مؤشرات عند حدوث هذا الخلل بالذات.
ورغم هذه النافذة الزمنية الضيقة جداً، فإن رمز الاستغلال الذي طوره تشونغ أثبت كفاءة عالية محققاً نسبة نجاح بلغت 99% على الأنظمة الخاضعة للاختبار، بما فيها الأهداف المعتمدة في برنامج kernelCTF مثل لقطات النواة lts-6.12.67 و cos-121-18867.294.100. ويعتمد أسلوب الاستغلال على توظيف 4 كائنات epoll يجري تقسيمها إلى زوجين متمايزين؛ يتولى الزوج الأول إشعال حالة السباق البرمجي، بينما يتحول الزوج الثاني إلى الضحية المستهدفة، لتتم بعد ذلك الاستفادة من عملية الكتابة الخاطئة في الذاكرة للتحكم في كائن الملف، وهو ما يتيح للقائم بالهجوم إجراء قراءة عشوائية لمحتويات ذاكرة النواة عبر المسار /proc/self/fdinfo، وصولاً إلى تنفيذ سلسلة موجهة نحو العودة (ROP) تمنح المهاجم صلاحيات الجذر بالكامل.
وعلى صعيد المعالجة الأمنية، سارع مطورو النواة إلى إصدار التزام برمي رسمي يحمل المرجع a6dc643c6931 بتاريخ 24 أبريل 2026، بالتوازي مع توفير تحديثات أمنية خلفية للفروع المستقرة ذات المراجع ced39b6a8062 و ef4ca02e9536. وتوضح سجلات التوزيعات الأمنية أن إصدار Debian bookworm (العامل بالنواة 6.1) محصن بطبيعته وغير متأثر بالثغرة، على العكس من إصدار Debian trixie (العامل بالنواة 6.12) الذي ظل معرضاً للخطر حتى دمج التصحيح الأمني.
وبناء على معطيات التهديد، يتوجب على مسؤولي الأنظمة والشبكات تطبيق التحديثات الفورية، لا سيما في البيئات المشتركة متعددة المستأجرين أو الأنظمة التي تسمح بتشغيل أكواد وتعليمات برمجية من مصادر غير موثوقة.
يذكر أن الباحث تشونغ كان قد أحال تفاصيل هذه الثغرة رسمياً إلى برنامج kernelCTF التابع لشركة Google، ونال لقاء هذا الاكتشاف مكافأة مالية تجاوزت 71 ألف دولار، في حين لا تزال عمليات تطوير الاستغلال الموجه لبيئات أندرويد مستمرة وتحت الإنجاز. ويأتي هذا الاكتشاف في سياق موجة أوسع من الثغرات الأمنية الحرجة التي استهدفت نواة Linux في الآونة الأخيرة، مثل ثغرتي “Copy Fail” و”DirtyClone”، إلا أن “Bad Epoll” تتمايز عنها جميعاً بكونها تعتمد على آلية سباق بالغة التعقيد تتطلب مهارات برمجية استثنائية لتنفيذها بنجاح، على خلاف الثغرات القطعية التقليدية التي لا تستلزم الفوز بنوافذ زمنية محددة.
وقد أوضح تشونغ أن نجاح نموذج Mythos في كشف الثغرة الأولى يمثل خطوة متقدمة بالنظر إلى الصعوبة البالغة التي تكتنف رصد ثغرات السباق عموماً، مستدركاً أن إغفال الثغرة الثانية يضع اليد على التحديات البنيوية القائمة في هذا المجال، ويوجه بوصلة الأبحاث الأمنية نحو تطوير خوارزميات قادرة على رصد الثغرات ذات الشواهد الرقمية الضعيفة والنوافذ الزمنية الضيقة. ومن جهتها، آثرت شركة Anthropic عدم تقديم أي تعليق رسمي يتعلق بصلة نموذجها بهذه الثغرة المحددة، مكتفية بالإشارة إلى سجلها السابق في توظيف نماذجها البرمجية بنجاح للكشف عن ثغرات تصعيد الصلاحيات في نواة Linux.









