يجب على مسؤولي المجموعات الذين يعتمدون على إضافة Kubernetes CSI Driver لبروتوكول SMB معالجة ثغرة CVE-2026-3865 بشكل عاجل، وهي ثغرة أمنية حديثة تتعلق بتجاوز المسار وتهدد سلامة البيانات. تسمح هذه الثغرة ذات الخطورة المتوسطة للجهات الخبيثة بالتلاعب بمعرفات وحدات التخزين، مما قد يؤدي إلى حذف أو تعديل أدلة غير مقصودة على خادم SMB الأساسي أثناء عمليات التنظيف الروتينية. وتعرض هذه الثغرة البيئات التي يمتلك فيها المستخدمون غير الموثوق بهم صلاحية توفير موارد التخزين لخطر حقيقي.
تنبع المشكلة الأساسية من عدم كفاية التحقق من صحة المعلمة subDir داخل معرفات وحدات التخزين. وإذا كان المستخدم يمتلك الصلاحيات اللازمة لإنشاء وحدات التخزين الدائمة (PersistentVolumes) التي تشير إلى إضافة SMB CSI، فيمكنه تعمد صياغة مقبض وحدة تخزين (volumeHandle) يحتوي على تسلسلات تجاوز المسار. وعندما تقوم الإضافة بتنفيذ مهام التنظيف أثناء حذف وحدة التخزين، تجبر هذه التسلسلات الخبيثة الإضافة على العمل خارج الدليل الفرعي المدار والمقصود.
وقد منح الباحثون الأمنيون هذه الثغرة تقييماً بدرجة 6.5 (متوسطة) وفقاً لمعيار CVSS 3.1، مع الإشارة تحديداً إلى تأثيرها الكبير على كل من سلامة البيانات وتوافرها. وتؤثر الثغرة على جميع إصدارات إضافة CSI Driver لبروتوكول SMB السابقة للإصدار المصحح. وقد تم اكتشاف الثغرة والإبلاغ عنها رسمياً بواسطة الباحث الأمني Shaul Ben Hai، وهو باحث أول في شركة SentinelOne.
كيفية حماية نظامك واكتشاف الاختراق
لتأمين بنيتك التحتية ضد ثغرة CVE-2026-3865، يجب على المسؤولين الترقية فوراً إلى الإصدار v1.20.1 أو الإصدارات الأحدث من إضافة CSI Driver لبروتوكول SMB. ويحتوي هذا الإصدار على الإصلاحات الضرورية للتحقق من صحة المسار، والتي نفذها المشرفون ولجنة الاستجابة الأمنية في نظام Kubernetes. بالإضافة إلى ذلك، يجب على المؤسسات قصر صلاحيات إنشاء وحدات التخزين الدائمة على المسؤولين الموثوق بهم فقط.
إذا كنت تشك في احتمال اختراق مجموعتك، فيجب عليك فحص جميع وحدات التخزين الدائمة التي تستخدم إضافة SMB CSI. راجع حقل volumeHandle بحثاً عن تسلسلات تجاوز مسار مشبوهة، مثل التسلسل التالي:
../يجب على المسؤولين أيضاً مراجعة سجلات وحدة تحكم CSI بحثاً عن أي عمليات غير متوقعة على الأدلة. ويتضمن المؤشر الواضح على الاختراق إدخالات سجل تظهر إزالة مسارات خارج النطاق المخصص، على غرار هذا المثال:
Removing subPath: /tmp/mount-uuid/legitimate/../../../exports/subdirفي حال اكتشاف أدلة على استغلال الثغرة، يُطلب من المسؤولين الاتصال بفريق أمن Kubernetes على الفور. يمكن العثور على مزيد من التفاصيل الفنية ومناقشات التخفيف من حدة المشكلة في صفحة GitHub الرسمية.
رؤية تحليلية: المخاطر الخفية لتوفير مساحات التخزين
يسلط الكشف عن ثغرة CVE-2026-3865 الضوء على نقطة عمياء حرجة في العديد من بيئات الحاويات، وهي الافتراض بأن عمليات توفير التخزين آمنة بطبيعتها. ورغم أن التقييم بدرجة 6.5 قد لا يثير نفس الذعر الفوري الذي تسببه ثغرات تنفيذ التعليمات البرمجية عن بُعد، إلا أن التأثير العملي لهذه الثغرة شديد الخطورة. فالسماح للمهاجم بحذف أو تعديل الأدلة بشكل تعسفي على خادم SMB يمكن أن يؤدي إلى فقدان كارثي للبيانات أو تلف منهجي، خاصة في المجموعات متعددة المستأجرين حيث تتم مشاركة مسارات SMB عبر تطبيقات مختلفة.
يعزز هذا الحادث الضرورة المطلقة لتطبيق مبدأ الامتيازات الأقل داخل بنى Kubernetes المعمارية. إن التوصية الرسمية بقصر إنشاء وحدات التخزين الدائمة على المسؤولين الموثوق بهم ليست مجرد حل مؤقت؛ بل هي موقف أمني أساسي. يجب ألا يُمنح المستخدمون غير الموثوق بهم أبداً القدرة على الإشارة إلى برامج تشغيل التخزين الخارجية بشكل مباشر، حيث أثبتت طبقات التحقق بين نظام تنسيق الحاويات والواجهة الخلفية للتخزين الخارجي أنها عرضة تاريخياً لتجاوزات الحالات الاستثنائية.
في النهاية، تُظهر الاستجابة السريعة من لجنة الاستجابة الأمنية في نظام Kubernetes والمشرفين مدى نضج التعامل مع الحوادث في هذا النظام البيئي. ومع ذلك، يقع العبء الآن على عاتق فرق عمليات التطوير (DevOps) والفرق الأمنية لمراجعة تكوينات التحكم في الوصول القائم على الأدوار (RBAC) الخاصة بهم. إن الاعتماد فقط على تصحيح الإصدار v1.20.1 دون معالجة هياكل الأذونات الأساسية يترك المجموعات عرضة لتكتيكات تلاعب بالتخزين مستقبلية وغير مكتشفة.
