يكشف تقرير حديث أن توزيعات لينكس التي صدرت منذ عام 2017 تعاني من ثغرة أمنية خطيرة تُعرف باسم “Copy Fail” برقم CVE-2026-31431، وهذه الثغرة تتيح لأي مستخدم محلي، حتى لو كانت صلاحياته محدودة، أن يحصل على صلاحيات الجذر بالكامل من خلال سكربت بايثون صغير لا يتجاوز حجمه بضع مئات من البايتات.
تتجلى خطورة هذه الثغرة في اتساع نطاق الأنظمة المتأثرة وبساطة استغلالها، حيث أظهرت شركة Theori الأمنية التي اكتشفت المشكلة أن السكربت يمكن أن يعمل تقريبًا دون أي تعديلات على توزيعات مثل أوبونتو وأمازون لينكس وRed Hat Enterprise Linux وSUSE وغيرها من التوزيعات الرئيسية، مما يجعل الأمر سهلًا للغاية.
كيف اكتُشفت الثغرة؟
تم اكتشاف الثغرة خلال فحص آلي لنظام التشفير في نواة لينكس باستخدام أدوات مسح مدعومة بالذكاء الاصطناعي، حيث استهدف الفحص جزء crypto/ من الكود للبحث عن أخطاء منطقية في التعامل مع البيانات، وبعد حوالي ساعة من التشغيل، ظهرت مشكلة في كيفية تعامل النواة مع أخطاء النسخ في واجهة مأخذ التشفير AF_ALG، وهي واجهة تستخدمها العديد من التطبيقات للوصول إلى خدمات التشفير في النظام.
هذه المشكلة سمحت للمهاجمين باستغلال تفاعل معقد بين مأخذ AF_ALG ونظام splice()، مما أدى إلى إمكانية الكتابة فوق 4 بايتات داخل “ذاكرة الصفحات” التي تستخدمها النواة، وهذا يعني أنه يمكن تغيير بيانات حساسة مرتبطة ببرامج ذات امتيازات عالية، مما يفتح المجال لترقية صلاحيات مستخدم عادي إلى Root دون الحاجة لاستغلال سباقات زمنية أو حساب إزاحات معقدة في الذاكرة، مما يجعل الثغرة من نوع “القفز المضمون” في العديد من الظروف.
استغلال الثغرة
وصفت شركة Sophos الثغرة بأنها ثغرة تصعيد صلاحيات محلية عالية الخطورة، حيث تؤثر على التوزيعات التي تم إصدارها منذ عام 2017، وتسمح لمستخدم محلي غير مميز بالوصول إلى صلاحيات الجذر من خلال التلاعب بملفات ثنائية ذات امتيازات عالية في ذاكرة الكاش الخاصة بالنظام.
تتضاعف خطورة الثغرة في بيئات السحابة والحاويات، حيث يُعتبر تشغيل كود غير موثوق ضمن حسابات محدودة الصلاحيات أمرًا شائعًا، وهذا يعني أن مهاجمًا يمكنه تشغيل كود داخل حاوية واحدة أو حساب محدود يمكنه القفز إلى صلاحيات الجذر على مستوى المضيف، مما يعني إمكانية الهروب من الحاوية والتنقل بين حاويات أخرى والوصول إلى بيانات تخص مستخدمين آخرين على نفس الخادم.
دعوة للتحديث
تصاعد القلق حول Copy Fail بعد نشر كود استغلال علني في 29 أبريل 2026، حيث أكدت Sophos وشركات أخرى أنه يعمل بنجاح على عدة توزيعات رئيسية دون تعديلات تُذكر، وأشار التقرير إلى سكربت بايثون لا يتجاوز 732 بايتًا قادر على “تجذير” أنظمة أوبونتو وأمازون لينكس وRHEL وSUSE بسرعة عالية، مما جعل الخبراء يحذرون المؤسسات من ضرورة التعامل مع الثغرة كأولوية قصوى.
استجابت شركات توزيعات مثل CloudLinux بإصدار تحديثات للنواة تعالج الخلل، مع توفير حلول تحديث مباشر للنواة لتقليل الحاجة إلى فترات توقف طويلة، إلا أن معظم التحليلات تؤكد أن إغلاق الثغرة بالكامل يتطلب إعادة تشغيل الأنظمة بعد تثبيت التحديثات، لأن الثغرة تضرب في قلب النواة.
دروس من Copy Fail
تجدر الإشارة إلى أن Copy Fail لم تُكتشف عبر مراجعة يدوية للكود، بل من خلال أداة مسح مدعومة بالذكاء الاصطناعي استطاعت رصد خطأ منطقي عميق في جزء من النواة ظل مستخدمًا لسنوات دون أن يلاحظه أحد، وهذا يسلط الضوء على واقع جديد في عالم الأمن السيبراني، حيث إن الأدوات الذكية أصبحت قادرة على كشف ثغرات كانت تعتبر نادرة.
لكن من ناحية أخرى، يمكن أن يستخدم المهاجمون نفس القدرات للبحث عن نقاط ضعف عميقة في أنظمة أساسية، مما يبرز ضرورة اتخاذ الحيطة والحذر، فبينما استجاب المجتمع التقني بسرعة عبر التحديثات والتحذيرات، تبقى Copy Fail تذكيرًا بأن الأنظمة التي نعتبرها مستقرة قد تخفي أخطاء منطقية خطرة لم تظهر إلا بفضل أدوات جديدة قادرة على تفكيكها.