اختر منطقتك 
حالة الطقس 
أثارت ثغرة أمنية جديدة تعرف باسم “CopyFail” والقابلة للاستغلال عبر شيفرة تنفيذ متاحة للجمهور، حالة من القلق الشديد لدى خبراء الأمن السيبراني، لاسيما وأنها تسمح بالحصول على صلاحيات المستخدم الجذر (root) في مختلف إصدارات نظام لينكس. ورغم إبلاغ فريق “Theori” الأمني عن الثغرة قبل خمسة أسابيع، فإن غياب التحديثات الأمنية اللازمة في العديد من توزيعات لينكس يجعل الأنظمة عرضة لخروقات أمنية خطيرة، سواء في مراكز البيانات أو الأجهزة الشخصية.
تم الكشف عن الثغرة، التي تحمل المعرف CVE-2026-31431، وشيفرة الاستغلال الخاصة بها يوم الأربعاء الفائت. وقد أبلغت “Theori” الباحثين عن الثغرة بشكل سري للفريق الأمني لنواة لينكس، الذي قام بإصلاحها في إصدارات محددة مثل 7.0، 6.19.12، 6.18.12، 6.12.85، 6.6.137، 6.1.170، 5.15.204، و 5.10.254. ومع ذلك، لم تكن غالبية توزيعات لينكس قد قامت بدمج هذه الإصلاحات بحلول موعد نشر شيفرة الاستغلال.
ثغرة CopyFail: تهديد شامل لصلاحيات لينكس
تُصنف ثغرة CopyFail ضمن فئة “تصعيد الامتياز المحلي”، وهي نقاط ضعف تمكن المستخدمين غير المصرح لهم من رفع صلاحياتهم تدريجياً ليصبحوا مسؤولين للنظام. تكمن خطورة CopyFail بشكل خاص في إمكانية استغلالها عبر شيفرة تنفيذ واحدة، تم نشرها مع الكشف عن الثغرة، وتعمل على جميع التوزيعات المعرضة للخطر دون الحاجة إلى تعديل. وبفضل هذه الصلاحيات الموسعة، يمكن للمهاجمين اختراق الأنظمة متعددة المستأجرين، والتهرب من قيود الحاويات (containers) المبنية على أطر عمل مثل Kubernetes، وإنشاء طلبات سحب (pull requests) خبيثة يمكنها تمرير شيفرة الاستغلال عبر مسارات عمل التكامل المستمر والتسليم المستمر (CI/CD).
وأوضح الباحث “Jorijn Schrijvershof” أن مصطلح “تصعيد الامتياز المحلي” يعني ببساطة أن أي مهاجم قادر على تشغيل أي شيفرة على الجهاز، حتى كأبسط مستخدم بدون صلاحيات، يمكنه ترقية نفسه ليصبح المستخدم الجذر. ومن هذا الموقع، يصبح بإمكانه قراءة كافة الملفات، وتثبيت أبواب خلفية، ومراقبة جميع العمليات، والتحرك بشكل جانبي نحو أنظمة أخرى. وأشار Schrijvershof إلى أن نفس برنامج Python الذي أصدرته “Theori” يعمل بشكل موثوق على توزيعات شهيرة مثل Ubuntu 22.04، Amazon Linux 2023، SUSE 15.6، و Debian 12.
وفيما يتعلق بأهمية هذه الثغرة في البنى التحتية المشتركة، أوضح Schrijvershof أن مفهوم “المحلي” يشمل نطاقاً واسعاً في عام 2026، بما في ذلك كل حاوية على عقدة Kubernetes مشتركة، وكل مستأجر على خادم استضافة مشترك، وكل مهمة CI/CD تشغل شيفرة طلب سحب غير موثوق بها، وكل مثيل WSL2 على جهاز كمبيوتر محمول يعمل بنظام Windows، وكل عميل ذكاء اصطناعي يعمل داخل حاوية ويُمنح صلاحية الوصول إلى سطر الأوامر. تتشارك كل هذه الكيانات نواة لينكس واحدة مع جيرانها، وانهيار نواة النظام عبر هذه الثغرة يزيل هذه الحدود.
ويشكل تسلسل التهديدات الواقعي هذا: يستغل المهاجم ثغرة معروفة في إضافة WordPress ويحصل على وصول سطر أوامر كمستخدم “www-data”. ثم يقوم بتشغيل الشيفرة المتاحة لـ CopyFail، ويصبح المستخدم الجذر على المضيف. فجأة، تصبح جميع المستأجرين الآخرين في متناول يده. لا تقوم الثغرة بإيصال المهاجم إلى الصندوق، بل تغير ما يحدث في الدقائق العشر التالية بعد وصوله.
الآليات التقنية لثغرة CopyFail
تنبع هذه الثغرة من خلل منطقي متسلسل في واجهة الواجهة البرمجية للتشفير (Crypto API) في نواة لينكس. غالباً ما تفشل الاستغلالات التي تعتمد على شروط السباق (race conditions) وعيوب تلف الذاكرة في النجاح بشكل متناسق عبر إصدارات النواة أو التوزيعات المختلفة، وأحياناً حتى على نفس الجهاز. ومع ذلك، وبما أن شيفرة CopyFail تستغل خللاً منطقياً، فإن موثوقية الاستغلال لا تعتمد على الاحتمالات، ويمكن لنفس الشيفرة أن تعمل عبر التوزيعات المختلفة. وقد أشارت “Bugcrowd” إلى عدم وجود شروط سباق أو إزاحة للنواة (kernel offset) في هذه الحالة.
اكتسبت CopyFail اسمها لأن عملية قالب التشفير المعتمد (AEAD) والمستخدمة لأرقام تسلسل IPsec الموسعة، لا تقوم فعلياً بنسخ البيانات عند اللزوم. بدلاً من ذلك، تستخدم “البيانات الوجهة الخاصة بالمتصل كمنطقة عمل مؤقتة، وتكتب 4 بايتات خارج منطقة الإخراج الشرعية، ولا تستعيدها أبداً”. وبذلك، يفشل “نسخ” بايتات AAD ESN في البقاء داخل منطقة الوجهة.
تصنيف ثغرة CopyFail كخطر جسيم
أكد خبراء أمنيون آخرون على خطورة CopyFail، حيث وصفها أحدهم بأنها “أسوأ ثغرة تصعيد صلاحيات إلى الجذر في النواة في الآونة الأخيرة”. وتأتي هذه الثغرة بعد سوابق خطيرة مثل Dirty Pipe في عام 2022 و Dirty Cow في عام 2016، وكلاهما تم استغلالهما بنشاط في البرية.
الخطوات المستقبلية والإجراءات الوقائية
في ظل هذا التهديد المباشر، يتسابق مسؤولو الأنظمة والمطورين لتطبيق التحديثات الأمنية اللازمة. يُنصح بشدة بضرورة تحديث نواة لينكس إلى الإصدارات التي تم فيها تصحيح ثغرة CopyFail. كما يجب على المؤسسات والشركات إجراء تقييم شامل لمواقعها وأنظمتها لتحديد مدى تعرضها للخطر واتخاذ الإجراءات اللازمة للحماية. من المتوقع أن تستمر الجهود لإصدار تحديثات أمنية شاملة لتوزيعات لينكس خلال الأيام والأسابيع القادمة، مع ضرورة المراقبة المستمرة لأي تطورات في هذا الشأن.
