كشف باحثون في مجال الأمن عن ثغرة خطيرة في نواة لينكس تحمل معرّف CVE-2026-46331، أُطلق عليها اسم «pedit COW»، تُمكّن أي مستخدم محلي غير مميّز من انتزاع صلاحيات الجذر على الأنظمة المتأثرة. واللافت أن استغلالاً عملياً علنياً ظهر في غضون يوم واحد فقط من تسجيل الثغرة رسمياً في السادس عشر من يونيو 2026، فيما صنّفتها شركة Red Hat ضمن الثغرات «المهمة».
كيف تعمل الثغرة؟
تكمن المشكلة في نظام التحكم بحركة المرور (Traffic Control) داخل النواة، وتحديداً في آلية تحرير الحزم المعروفة بـ«act_pedit». من المفترض أن الدالة `tcf_pedit_act()` تُنشئ نسخة خاصة من البيانات قبل تعديلها، وهو النمط المعروف بـ«النسخ عند الكتابة» (Copy-on-Write). غير أن الدالة كانت تتحقق من نطاق الكتابة المسموح به مرة واحدة فقط، وذلك قبل أن تُحسم الإزاحات النهائية. بعض مفاتيح التحرير لا تُحدَّد إزاحتها إلا في وقت التنفيذ، فتقع الكتابة خارج منطقة النسخة الخاصة لتطال مباشرةً صفحة ذاكرة تخزين مؤقت مشتركة، وإن كانت تلك الصفحة تخص ملفاً مُحمَّلاً في الذاكرة فإن صورته في الذاكرة تتعرض للتلف.
ويستغل الاستغلال الجاهز هذه الثغرة بتسميم النسخة المحمَّلة في الذاكرة من ثنائي يملك صلاحية setuid مثل `/bin/su`، ثم حقن شيفرة صغيرة فيه وتشغيلها بصلاحيات الجذر — كل ذلك دون أن يمسّ الملف على القرص. بذلك تعود فحوصات سلامة الملفات بنتائج نظيفة في حين يكون المهاجم قد حصل بالفعل على قشرة جذر (root shell).
ويستلزم هذا الاستغلال شرطين: أن يكون وحدة `act_pedit` قابلة للتحميل، وأن تكون مساحات أسماء المستخدمين غير المميّزة (unprivileged user namespaces) مفتوحة، إذ تمنح المهاجمَ صلاحيةَ `CAP_NET_ADMIN` ضمن مساحة الاسم، وهي ما يحتاجه لتفعيل الثغرة. على الأنظمة المختبرة من RHEL وDebian، كان كلا الشرطين متوفرَين افتراضياً.
ويُذكّر هذا النمط بثغرات سابقة طالت ذاكرة التخزين المؤقت للصفحات في النواة، من بينها Dirty Pipe وCopy Fail وDirtyClone وDirty Frag، وكلها تشترك في أن مسار النواة السريع يكتب في صفحة لا يملكها حصرياً فتُصاب ذاكرة التخزين المؤقت. أما الجديد هنا فهو نقطة الدخول عبر مساحات أسماء المستخدمين.
الأنظمة المتأثرة
أفاد مكتشف الاستغلال بنجاح الهجوم على نظامَي RHEL 10 وDebian 13 (trixie) حيث تكون مساحات أسماء المستخدمين غير المميّزة مفتوحة بصورة افتراضية. أما Ubuntu 24.04 فاستلزم توجيه التنفيذ عبر ملفات تعريف AppArmor التي لا تزال تسمح بمساحات الأسماء. وUbuntu 26.04 يحجب هذا المسار افتراضياً عبر قيود AppArmor، لكن النواة الأساسية تظل عرضة للثغرة.
على صعيد الإصلاحات: أصدرت Debian تصحيحاً لإصدار trixie عبر قناتها الأمنية، في حين لا تزال الإصداران 11 و12 مُدرجَين ضمن المتأثرة. وأعلنت Ubuntu عن تأثر إصداراتها من 18.04 حتى 26.04 كما في الخامس والعشرين من يونيو. وصنّفت Red Hat الإصدارات 8 و9 و10 من RHEL ضمن المتأثرة، مع استثناء RHEL 7.
ومن الجدير ذكره أن الإصلاح وصل إلى القائمة البريدية netdev في أواخر مايو في صورة ترقيع روتيني لتلف بيانات، وبقيت التفاصيل القابلة للاستغلال على قائمة بريدية عامة أسابيعَ دون تسجيل CVE أو تحذير أمني، إلى أن دُمج الإصلاح في السادس عشر من يونيو وصدر معه معرّف الثغرة، ليتبعه الاستغلال المسلّح في غضون يوم.
توصيات
- **ثبّت نواة مُرقَّعة وأعِد تشغيل النظام فوراً**، مع إعطاء الأولوية للأنظمة متعددة المستخدمين كمضيفات CI/CD وعقد Kubernetes وأجهزة البناء المشتركة.
- إن تعذّر التحديث الفوري، احرص على قطع أحد حلقتَي الاستغلال:
- تحقق من تحميل الوحدة (`lsmod | grep act_pedit`) ثم احجب تحميلها بإضافة `install act_pedit /bin/true` إلى `/etc/modprobe.d/disable-act_pedit.conf`.
- أو أوقف مساحات أسماء المستخدمين غير المميّزة (`user.max_user_namespaces=0` على RHEL، أو `kernel.unprivileged_userns_clone=0` على Debian/Ubuntu)، مع الأخذ بعين الاعتبار أن ذلك قد يُعطّل الحاويات بلا صلاحيات جذر وبعض بيئات المتصفحات المعزولة — اختبر أولاً.
- لا تعتمد على فحوصات سلامة الملفات للكشف عن هذا الاستغلال؛ فهي تفحص القرص لا الذاكرة. إسقاط ذاكرة التخزين المؤقت (`echo 3 > /proc/sys/vm/drop_caches`) يُزيل النسخة المسمومة من الذاكرة لكنه لن يُغلق أي قشرة جذر فُتحت بالفعل. إن كنت تشك في وقوع اختراق، تعامل مع المضيف باعتباره مخترَقاً وابدأ إجراءات الاستجابة للحوادث.
