كشف الباحثون في Nebula Security عن GhostLock (CVE-2026-43499)، وهو عيب في نواة Linux يبلغ من العمر 15 عامًا يسمح لأي مستخدم قام بتسجيل الدخول بالتحكم الكامل في الجذر لجهاز لم يتم تصحيحه.

لقد تم شحن الكود الضعيف بشكل افتراضي في كل توزيع رئيسي منذ عام 2011. ولا يحتاج الخلل إلى إذن خاص، ولا إعدادات غير عادية، ولا وصول إلى الشبكة؛ تكفي مكالمات الترابط العادية من أي برنامج محلي.

حولته شركة Nebula إلى برنامج استغلال جذري فعال يمكن الاعتماد عليه بنسبة 97% في اختباراته ويفلت أيضًا من الحاويات، وتقول Google إنها منحت الفريق مبلغ 92.337 دولارًا أمريكيًا من خلال برنامج مكافآت الأخطاء kernelCTF.

لا يُعرف عن أحد أنه يستغلها على أرض الواقع، لكن Nebula نشرت تعليمات برمجية فعالة للاستغلال، لذا يمكن لأي شخص الآن تشغيلها. التصحيح هو الأولوية.

كيف يعمل الخطأ

تحتوي النواة على نظام لمنع المهمة العاجلة من التعثر خلف مهمة تافهة. جزء منها عبارة عن خطوة تنظيف يتم ترتيبها بعد المهمة بمجرد توقفها عن الانتظار.

عادة، هذا يعمل بشكل جيد. ولكن في حالة نادرة، حيث تصل عملية القفل إلى طريق مسدود ويجب التراجع عنها، يتم تشغيل عملية التنظيف في اللحظة الخطأ ومسح سجل المهمة الخاطئة.

يؤدي هذا الخطأ إلى ترك النواة تحمل “ملاحظة” تشير إلى قصاصة من الذاكرة تم التخلص منها بالفعل وإعادة استخدامها. إن الثقة في هذا المؤشر القديم هي الخطأ بأكمله، وهو نوع من الانزلاق المعروف باسم الاستخدام بعد الاستخدام مجانًا. ومن هناك، قام فريق نيبولا ببعض الخطوات الذكية لتحويل هذا الخطأ الصغير إلى سيطرة كاملة، وانتهى الأمر بخداع النواة لتشغيل التعليمات البرمجية الخاصة بهم كمستخدم “جذر” قوي للغاية. على جهاز الاختبار الخاص بهم، استغرق الأمر حوالي خمس ثوانٍ.

كان الخلل موجودًا في Linux منذ عام 2011 وتم إصلاحه في أبريل، مع طرح التوزيعات الآن للتصحيح (3bfdc63936dd). إنه يؤثر على كل إصدارات Linux تقريبًا ويسجل 7.8 من أصل 10 (مرتفع، غير حرج) لأن المهاجم يحتاج إلى تسجيل الدخول بالفعل إلى الجهاز. وجدت شركة Nebula ذلك باستخدام VEGA، أداة البحث عن الأخطاء المعتمدة على الذكاء الاصطناعي.

ما يجب القيام به

قم بتثبيت النواة الحالية لتوزيعتك، وليس فقط النسخة الأولى المصححة. قدم الإصلاح الأصلي خطأ تعطل منفصل (CVE-2026-53166)، وكانت عملية التنظيف الخاصة بذلك لا تزال تستقر في أوائل شهر يوليو، لذا قد تفتقر الإصدارات المبكرة إلى الإصدار النهائي.

لا يوجد حل بديل كامل، نظرًا لأن العمليات التي تؤدي إلى تشغيله تعتبر روتينية لأي عملية محلية.

التوفر متفاوت حتى الآن. على سبيل المثال، قامت Ubuntu بتصحيح أحدث إصدار لها وبعض النوى السحابية، ولكن اعتبارًا من أوائل شهر يوليو لا تزال تُدرج 24.04 و22.04 و20.04 LTS على أنها ضعيفة أو قيد التقدم. تحقق من إرشادات التوزيعة الخاصة بك وتأكد من إصدار الحزمة الثابتة بدلاً من افتراض أن هناك انتظارًا.

هناك خياران للإنشاء، RANDOMIZE_KSTACK_OFFSET وSTATIC_USERMODE_HELPER، مما يجعل هذا الاستغلال أكثر صعوبة، لكنهما عبارة عن عمليات تخفيف، وليست إصلاحات. تصحيح الأجهزة المشتركة والمتعددة المستأجرين أولاً، والخوادم السحابية، والحاويات، ومشغلات CI، حيث من المرجح أن يجد المهاجم موطئ قدم محلي يحتاجه هذا الخطأ.

ليس الخطأ الوحيد من kernel إلى root هذا العام

ينضم GhostLock إلى مجموعة من أخطاء تصعيد امتيازات Linux لعام 2026، والتي يشترك العديد منها في التفاصيل: عثرت عليها أداة آلية.

عثر VEGA على GhostLock؛ قبل أيام، كشف الباحثون عن Bad Epoll (CVE-2026-46242)، وهو ابن عم قريب يحول أيضًا مستخدمًا لا يتمتع بأي امتيازات إلى الجذر. وقد تم إثبات ذلك من خلال kernelCTF، وهو يعمل على نظام Android، وهو أمر غير معتاد بالنسبة لهذه الفئة من الأخطاء.

يقع Bad Epoll في نفس الجزء من التعليمات البرمجية حيث يُنسب إلى نموذج Anthropic’s Mythos وجود عيب ذي صلة. إن ما يتقاسمونه هو آلات نواة قديمة ومستخدمة بكثافة والتي لم يعيد قراءتها سوى القليل منذ سنوات، حتى بدأت الأدوات الآلية في تمشيطها. يعود تاريخ وراثة أولوية Futex إلى عام 2011. الفصل ليس نظريًا: خطأ آخر في عام 2026، فشل النسخ (CVE-2026-31431)، موجود بالفعل في قائمة CISA للثغرات الأمنية التي تظهر في الهجمات الواقعية.

GhostLock هو أيضًا النصف الثاني من سلسلة مكالمات Nebula ايون ستاك. النصف الأول، CVE-2026-10702، عبارة عن عيب في Firefox يقوم بتشغيل التعليمات البرمجية داخل المتصفح ويهرب من وضع الحماية الخاص به؛ يحمل GhostLock بقية الطريق إلى الجذر.

لقد أظهر Nebula بالفعل السلسلة الكاملة، بدءًا من نقرة واحدة على رابط ضار وحتى التحكم الكامل، ضد Firefox على Android. وهذا هو السبب في أن خطأ kernel “المحلي فقط” لا يزال مهمًا: فهو يحتاج في حد ذاته إلى موطئ قدم، ولكن عندما يتم تثبيته على استغلال المتصفح، فإنه يصبح بمثابة حل وسط عن بعد. يقول Nebula أن الكتابة الكاملة لاستغلال Android ستأتي بعد ذلك.

شاركها.
اترك تعليقاً